在尝试解决在与路由器建立无线连接的机器上间歇性失去互联网连接的问题时,我运行了 tcpdump 并注意到带有“未知 SSAP”和“未知 DSAP”错误的数据包以每秒几个的速度出现。
20:27:21.703178 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xe2 Information, send seq 0, rcv seq 16, Flags [Response], length 171
20:27:21.724726 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xe2 Information, send seq 0, rcv seq 16, Flags [Response], length 104
20:27:21.746449 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xe4 Information, send seq 0, rcv seq 16, Flags [Response], length 88 …TCPDump 是否有一个 pcap 过滤器可以过滤零窗口消息?
我知道如何在 Wireshark 显示过滤器 ( tcp.analysis.zero_window) 中过滤这些数据,但我需要处理的数据量很容易使 Wireshark(至少 32 位版本)崩溃,并且分解文件并通过这些捕获是乏味的。
有没有针对 TCP 零窗口消息的捕获过滤器?
我试图找出一种方法来检测连接到我服务器上端口 80 的每个 IP 的往返时间。有什么好的方法可以做到这一点?
有很多连接,ping每个ip是不切实际的。我在想,以某种方式测量服务器发送 syn/ack 数据包和服务器收到它的 ack 之间的时间差。
有没有办法便宜地记录这个?也许使用一些神奇的 tcpdump 过滤器?
此练习的目标是汇总数据并计算是否存在任何路由效率低下的情况。假设一个地区的一个 ISP 可能路由不正确,等等。
FWIW 网络服务器是 nginx。
我需要在CentOS 5服务器上捕获流量,该服务器充当具有 2 个 wan 接口和 1 个 LAN 的 Web 代理。为了解决一个奇怪的代理问题,我想捕获一个完整的对话。由于外部连接在两个WAN接口之间是平衡的,我想知道是否可以在所有接口上同时捕获。
我以前用过,tcpdump但它一次只允许一个界面。我可以启动 3 个并行进程以在所有接口上进行捕获,但最终会得到 3 个不同的捕获文件。
这样做的正确方法是什么?
在尝试使用 OpenStack调试网络问题时,我遇到了最奇怪的事情。我正在虚拟机之间进行 ping 测试。如果我在运行 nova-network 的节点上的网桥接口上执行了“tcpdump”,ICMP 请求数据包才会到达目标主机,该节点会转发数据包。如果我停止在该接口上执行 tcpdump,则不再看到请求到达主机。
一般来说,如何/为什么在 Linux 网桥接口上执行 tcpdump 会影响数据包是否被转发?
我试图找出我的网络服务器上的 tcp 重置发生的位置。我有以下捕获:
tcpdump -fnni bond0:-nnvvS -w dump.pcap 'tcp[tcpflags] & (tcp-rst) !=0'
当我查看wireshark中的pcap时显示我重置:
Flags: 0x004 (RST)
.... .... .1.. = Reset: Set
.... .... ..0. = Syn: Not set
.... .... ...0 = Fin: Not set
Window size value: 0
Calculated window size: 0
Window size scaling factor: -1 (unknown)
Checksum: 0x0f2f [validation disabled]
Good Checksum: False
Bad Checksum: False
但没有告诉我是谁重置了连接。我相信 tcpdump 中有一些开关可以让我看到谁重置了连接以及可能的原因。我尝试了各种开关,但都没有运气。
在此先感谢您的帮助。
有时,在对副本集的运行状况进行故障排除时,我想专门过滤掉心跳数据包,跟踪它们发出的情况,以及随后的回复(或缺少回复),而没有在其他数据之间流动的所有噪音套。
不幸的是,这些数据包的结构与普通命令/查询和响应非常相似。尽管Wireshark具有解析器,可以让我接触到 MongoDB 有线协议,但我无法使用该技术在 tcpdump 中从源头过滤掉数据包。
所以,问题是——如何在 tcpdump 中过滤 MongoDB 副本集心跳?
我试图找出我的主机接收或发送到其他主机的 vlan 标记数据包。我试过
tcpdump -i eth1 vlan 0x0070
但它没有用。有没有人试过通过 tcpdump 查看 vlan 数据包?在网上搜索找不到太多帮助!
使用 Ubuntu,我试图将 tcpdump 嗅探与来自客户端设备的自我识别“ping”同步。问题是由于 tcpdump 中的内置延迟,很难获得精确的启动和停止。这是我的脚本中的关键行:
sudo timeout .5s tcpdump -i wlan0 -e
当我设置超时以在半秒后停止 tcpdump 时(如我的示例),没有数据包返回。事实上,任何低于 1.1s 的值都无法返回数据包(而 1.1 和更长的时间效果很好)。
我尝试添加 -n 参数来抑制 DNS,但这没有任何区别。我还用两个完全不同的 wifi 卡(英特尔迅驰和 TP-Link N900)尝试了这个,以确保它不仅仅是一个硬件“功能”。
我不是开发人员,但我对“延迟”、“延迟”和“超时”的 tcpdump 源代码进行了 grep 搜索,但没有出现任何似乎是负责任的。
有任何想法吗?
我基本上想要的是每 3 天将所有 tcpdump 捕获的数据包写入一个文件。所以基本上 tcpdump 应该在第 1 天运行 24 小时并将输出写入 Day1.log 和类似的 Day2 和 Day3。在第 4 天,它应该重复并将日志再次写入 Day1。这基本上是为了检查我的服务器上的 DDoS 尝试并找出攻击类型,包括攻击者的 IP,因为在过去 7 天我的机器被 DDoS 攻击,我希望它再次发生。我知道它是由一些 cronjobs 完成的,但我需要将实际命令放在那里?
我还想知道哪个 IP 以 mb/sec 为单位的最大输入量,因为我的流量很高,因此我几乎需要 6 个小时才能继续搜索这些文件以查找攻击者的 IP。那么在分析这些文件的过程中,WireShark 中是否有任何内容可以说明 IP 对我的服务器进行了多少 mb/s 的输入?如果没有,我应该如何找到它?
编辑: --------------------------------------------
你们也可以自由发表您的反击想法。我所需要的只是找到攻击者的 IP、他发送的数据包数据以及以 mb/s 为单位的输入到我的服务器。我的客户不会产生超过 300kb/s 的输入,所以如果我们设置一个过滤器来捕获超过 1mb/s 的输入,我们可以捕获它。