标签: tcpdump

我可以监视像 tcpdump 这样的本地 unix 域套接字吗?

我想在不干扰原始连接的情况下监视 unix 套接字上的响应,并将它们通过管道传输到脚本进行处理。

我知道如何使用 tcpdump 进行 tcp 连接,但我似乎找不到本地 unix 套接字的解决方案。

这甚至可能吗?

unix domain sockets tcpdump

76
推荐指数
4
解决办法
7万
查看次数

tcpdump 是否绕过 iptables?

我错误地设置了开放式解析器 DNS 服务器,该服务器很快被用于从/到俄罗斯某处发起的一系列 DDoS 攻击。出于这个原因,除了受信任的 IP 之外,我完全阻止了每个人在两个 DNS 服务器上的端口 53。它确实有效,因为我无法再连接到它们,但对我来说似乎很奇怪的是,当我在eth1(这是服务器与公共 Internet 的接口)上运行 tcpdump 时,我看到很多来自攻击者到端口 53 的传入数据包.

即使 iptables 丢弃这些数据包,tcpdump 也会显示这些数据包是否正常?或者我是否错误地配置了 iptables?

另一方面,我没有看到来自我的服务器的任何传出数据包,这是我以前做过的,所以我认为防火墙有点工作。内核没有完全丢弃数据包让我感到惊讶?或者tcpdump以一种甚至在数据包到达 iptables 之前就可以看到数据包的方式连接到内核?

networking iptables tcpdump

65
推荐指数
1
解决办法
3万
查看次数

如何使 tcpdump 显示 ip 和端口号,但不显示主机名和协议

我正在使用 tcpdump 进行一些测试,我想查看 IP 和端口号,但 tcpdump 的输出就像

IP pl1snu.koren.kr.http > kitch.pl.sophia.inria.fr.dnp: Flags [P.], seq 54:72, ack 1, win 5792, length 18
Run Code Online (Sandbox Code Playgroud)

它只显示主机名和 http 协议,很容易知道它是 80 但对于 dnp 我必须搜索

那么是否有可能如何使 tcpdump 显示 ip 和端口号,但不显示主机名和协议,如果是这样,如何?谢谢

networking linux tcpdump

51
推荐指数
2
解决办法
14万
查看次数

tcpdump – 使用 -G、-W 和 -C 旋转捕获文件

我希望能够捕获循环的 tcpdump 输出,该输出将 30 分钟的数据捕获到 48 个文件中,循环。

手册页暗示这应该是可能的,但我的测试似乎没有产生我正在寻找的结果:

-W

      与该-C选项结合使用,这会将创建的文件数量限制为指定数量,并从头开始覆盖文件,从而创建一个“旋转”缓冲区。此外,它会以足够多的前导 0 来命名文件以支持最大数量的文件,从而使它们能够正确排序。

      -G选项结合使用,这将限制创建的旋转转储文件的数量,达到限制时以状态 0 退出。如果同时使用-C,该行为将导致每个时间片的循环文件。

我在 OS X 10.9.5/10.10.3 客户端上运行它。这是测试命令;它只是在第三个文件之后退出:

tcpdump -i en0 -w /var/tmp/trace-%Y-%M-%d_%H.%M.%S.pcap -W 3 -G 3 -C -K -n
Run Code Online (Sandbox Code Playgroud)

linux unix tcpdump macos

19
推荐指数
2
解决办法
8万
查看次数

deploy.akamaitechnologies.com 的所有流量是什么?

我碰巧在我的 Mac 闲置时做了一个 tcpdump,当我在仅仅半小时后回来时,有大约 5000 个数据包涉及到 deploy.akamaitechnologies.com,其中我的计算机在 TCP 443 端口上向它请求某些东西,并取回 1448 个有效载荷字节。实际字节看起来是乱码,所以我不知道传送的是什么。

我倾向于将 akamaitechnologies 添加到我的 Wifi 路由器要阻止的域列表中。

有人知道这个数据是什么吗?

谢谢。

cms wireshark tcpdump pcap

17
推荐指数
2
解决办法
17万
查看次数

如何使用 tcpdump 捕获最后 N 秒的数据包

如何使用 tcpdump 捕获最后 N 秒的数据包?

tcpdump

15
推荐指数
2
解决办法
3万
查看次数

tcpdump:如何获得 grepable 输出?

我正在尝试解决一个问题,即我在设备上只有 tcpdump 可用。我想使用 tcpdump 过滤网络流量,并且只显示包含某些字符串的流量。

我执行以下操作:

tcpdump -nei eth0 -X | grep "something interesting"
Run Code Online (Sandbox Code Playgroud)

输出是带有 16 字节 pr 行的十六进制视图。我无法 grep 此数据,因为数据显示在多行上。

tcpdump 有没有办法将捕获的数据显示在一行上?这将使使用 grep 查找感兴趣的数据包成为可能。

networking linux tcpdump

15
推荐指数
2
解决办法
5万
查看次数

如何从 tcpdump 或 Wireshark 区分两个网络转储?

我的一位客户的嵌入式计算机出现问题。他们似乎丢弃了一些他们不应该丢弃的网络数据包。我可以使用 Wireshark 从机箱外的托管交换机捕获 TCP 通信,我也可以使用 tcpdump 设法从内部捕获所有数据。我可以将这两个转储加载到 Wireshark 中并自己进行比较。但是有没有更简单的方法来只查看两个这样的转储文件之间的差异?

diff wireshark tcpdump

11
推荐指数
1
解决办法
1万
查看次数

当我有一个由 tcpdump 创建的转储文件时如何测量发送的数据

我使用以下命令转储了网络流量:

tcpdump -w myfile.dump
Run Code Online (Sandbox Code Playgroud)

现在我想知道传输了多少数据。我猜文件大小不等于传输的数据大小,因为转储文件也包含元数据。

我怎样才能做到这一点?

networking tcpdump

9
推荐指数
2
解决办法
2255
查看次数

对于基本的家庭设置,多少次 TCP 重新传输互联网流量被认为是正常的?

出于好奇,我用以太网线将笔记本电脑连接到路由器,并启动 Wireshark 以了解和“可视化”正在发生的情况。

一些数据包引起了我的注意。

我时常会在 WAN 流量之间进行一些 TCP 重传,顺便说一句,我没有有意义的 LAN 流量。

我开始担心我知道我正在重传,但我认为它来自互联网,并且时不时地会发生……我猜?虽然我发现很难量化是否太多以及多少是可以接受的。

PS:只是说这与重用 TCP 端口号的 TCP 重传无关。

networking tcpip wireshark tcpdump

9
推荐指数
2
解决办法
3709
查看次数

标签 统计

tcpdump ×10

networking ×5

linux ×3

wireshark ×3

unix ×2

cms ×1

diff ×1

domain ×1

iptables ×1

macos ×1

pcap ×1

sockets ×1

tcpip ×1