我想在不干扰原始连接的情况下监视 unix 套接字上的响应,并将它们通过管道传输到脚本进行处理。
我知道如何使用 tcpdump 进行 tcp 连接,但我似乎找不到本地 unix 套接字的解决方案。
这甚至可能吗?
我错误地设置了开放式解析器 DNS 服务器,该服务器很快被用于从/到俄罗斯某处发起的一系列 DDoS 攻击。出于这个原因,除了受信任的 IP 之外,我完全阻止了每个人在两个 DNS 服务器上的端口 53。它确实有效,因为我无法再连接到它们,但对我来说似乎很奇怪的是,当我在eth1(这是服务器与公共 Internet 的接口)上运行 tcpdump 时,我看到很多来自攻击者到端口 53 的传入数据包.
即使 iptables 丢弃这些数据包,tcpdump 也会显示这些数据包是否正常?或者我是否错误地配置了 iptables?
另一方面,我没有看到来自我的服务器的任何传出数据包,这是我以前做过的,所以我认为防火墙有点工作。内核没有完全丢弃数据包让我感到惊讶?或者tcpdump以一种甚至在数据包到达 iptables 之前就可以看到数据包的方式连接到内核?
我正在使用 tcpdump 进行一些测试,我想查看 IP 和端口号,但 tcpdump 的输出就像
IP pl1snu.koren.kr.http > kitch.pl.sophia.inria.fr.dnp: Flags [P.], seq 54:72, ack 1, win 5792, length 18
它只显示主机名和 http 协议,很容易知道它是 80 但对于 dnp 我必须搜索
那么是否有可能如何使 tcpdump 显示 ip 和端口号,但不显示主机名和协议,如果是这样,如何?谢谢
我希望能够捕获循环的 tcpdump 输出,该输出将 30 分钟的数据捕获到 48 个文件中,循环。
手册页暗示这应该是可能的,但我的测试似乎没有产生我正在寻找的结果:
-W
与该
-C选项结合使用,这会将创建的文件数量限制为指定数量,并从头开始覆盖文件,从而创建一个“旋转”缓冲区。此外,它会以足够多的前导 0 来命名文件以支持最大数量的文件,从而使它们能够正确排序。与
-G选项结合使用,这将限制创建的旋转转储文件的数量,达到限制时以状态 0 退出。如果同时使用-C,该行为将导致每个时间片的循环文件。
我在 OS X 10.9.5/10.10.3 客户端上运行它。这是测试命令;它只是在第三个文件之后退出:
tcpdump -i en0 -w /var/tmp/trace-%Y-%M-%d_%H.%M.%S.pcap -W 3 -G 3 -C -K -n
我碰巧在我的 Mac 闲置时做了一个 tcpdump,当我在仅仅半小时后回来时,有大约 5000 个数据包涉及到 deploy.akamaitechnologies.com,其中我的计算机在 TCP 443 端口上向它请求某些东西,并取回 1448 个有效载荷字节。实际字节看起来是乱码,所以我不知道传送的是什么。
我倾向于将 akamaitechnologies 添加到我的 Wifi 路由器要阻止的域列表中。
有人知道这个数据是什么吗?
谢谢。
我正在尝试解决一个问题,即我在设备上只有 tcpdump 可用。我想使用 tcpdump 过滤网络流量,并且只显示包含某些字符串的流量。
我执行以下操作:
tcpdump -nei eth0 -X | grep "something interesting"
输出是带有 16 字节 pr 行的十六进制视图。我无法 grep 此数据,因为数据显示在多行上。
tcpdump 有没有办法将捕获的数据显示在一行上?这将使使用 grep 查找感兴趣的数据包成为可能。
我的一位客户的嵌入式计算机出现问题。他们似乎丢弃了一些他们不应该丢弃的网络数据包。我可以使用 Wireshark 从机箱外的托管交换机捕获 TCP 通信,我也可以使用 tcpdump 设法从内部捕获所有数据。我可以将这两个转储加载到 Wireshark 中并自己进行比较。但是有没有更简单的方法来只查看两个这样的转储文件之间的差异?
我使用以下命令转储了网络流量:
tcpdump -w myfile.dump
现在我想知道传输了多少数据。我猜文件大小不等于传输的数据大小,因为转储文件也包含元数据。
我怎样才能做到这一点?
出于好奇,我用以太网线将笔记本电脑连接到路由器,并启动 Wireshark 以了解和“可视化”正在发生的情况。
一些数据包引起了我的注意。
我时常会在 WAN 流量之间进行一些 TCP 重传,顺便说一句,我没有有意义的 LAN 流量。
我开始担心我知道我正在重传,但我认为它来自互联网,并且时不时地会发生……我猜?虽然我发现很难量化是否太多以及多少是可以接受的。
PS:只是说这与重用 TCP 端口号的 TCP 重传无关。