我正在 Wireshark 中检查以太网帧。根据“以太网帧”维基百科文章和附图,“帧以 7 个八位字节的前导码和 1 个八位字节的起始帧定界符 (SFD) 开始。” 文章还强调,“数据包嗅探软件不会显示前导码和起始帧分隔符,因为这些位在传递到 OSI 第 2 层(数据包嗅探器在此收集数据)之前已在 OSI 第 1 层被网络接口控制器剥离。” 我的问题是:有没有办法使用 Wireshark 捕获并显示整个以太网帧?如果没有,是否有可能在不使用额外硬件的情况下实现这一点? //同步确认 ...
我们有多个办公室使用 Meraki 交换机通过 VPN 互连。我一直在寻找,似乎找不到方法,但我认为这是可能的。我是否可以将我的桌面放在远程 vpn 子网之一上,以便我可以监控流量?我们的一个办公室流量很大,我们正在寻找一种比较方法,而不必远程访问本地计算机。 如果这有道理,那么可能吗? ...
我的问题是,我收到一份报告称我的 IP 被用于 DOS 攻击。问题是我不知道哪台计算机被感染,而且攻击不再活跃。 我的路由器(运行 fedora)是否有简单的 Linux 工具可以计算每个本地 IP 的数据包速率,如果超过我选择的常数,它将启动我的 shell 脚本? 注意,我还对从本地主机生成的数据包感兴趣(以防服务器本身被黑客入侵)。 ...
我如何转储 TCP 数据包以更好地了解哪个网站受到了攻击? 以下是我的日志中的内容: May 4 23:10:26 host kernel: [2130002.635000] Firewall: *SYNFLOOD Blocked* IN=eth0 OUT= MAC=00:26:9e:3d:14:e0:00:12:44:99:b8:00:08:00 SRC=51.120.142.200 DST=1.2.3.4 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=64643 PROTO=TCP SPT=6433 DPT=80 WIN...
在我的计算机上我希望只有 50% 的数据包能够接收。 我正在使用 centOS 5.5。 为此,我在网上搜索了一下。我找到了 IPtables。我使用了 IPtables 的随机补丁。 命令 sudo iptables -A INPUT -p icmp --icmp-type echo-request -m random --average 50 -j DROP 输出 iptables v1.3.5: Couldn't load match `random':/lib64/iptables/libipt_random.so: cannot op...
我正在尝试通过查看数据包来调试一些问题,并且我想避免将所有 SSH 流量发送到服务器。有没有办法忽略? 我尝试做类似的事情tshark -f "port !22"但它在命令之后停止了监听。 [root@vpn ~]# tshark -f "port !22" tshark -f "port ls" Running as user "root" and group "root". This could be dangerous. Capturing on venet0 tshark: arptype 65535 not supported by libpc...
我正在尝试调试一些包含大型文件上传(约 500 MB)的失败 HTTP POST 请求。最终用户收到奇怪的 HTTP 响应,这些响应未记录在 varnish 的 varnishncsa 工具、varnish 的 varnishlog 工具或任何内部 Web 服务器日志中。由于我无法复制该问题(可能是 ISP 代理的结果),我正在尝试找到一些选项来记录整个请求(由 URL 标识)并稍后在开发或暂存服务器上重放它。 看起来 Snort 可能是解决这个问题的最佳方法,因为它允许我们在传入数据包被(错误)解释之前记录它们,但我担心它可能会导致如此大的请求带来显著的...
我正在尝试使用tcpick将 http 数据记录到唯一文件中(客户端和服务器混合在一起)。这是来自tcpick的手册页: $ tcpick -i eth0 "port 80" -wRub 我希望这会将 tcp 流写入名为 的文件<ip_client>_<ip_server>_<port_server>.tcpick,但似乎根本没有写入任何文件。 有人对此有解释吗?我tcpick在 Ubuntu 12.04.1 LTS 上运行 0.2.1。 ...
对于 tcpdump,我使用此命令查看数据包详细信息: tcpdump -vvv -i interface 并将数据包保存到 pcap 文件中: tcpdump -i interface -w output 第一个命令的详细信息少于使用第二个命令放入 pcap 文件中的详细信息。 我如何才能在终端中看到相同的详细信息? ...
目标:我正在使用 GRPC 对 Envoy (AWS AppMesh) 代理的两个服务队列之间的集成进行故障排除。我的 GRPC 客户端从不向新的 GRPC 服务器发送流量(扩展后)。 背景:GRPC 服务器配置为maxConnectionAge每 30 秒回收一次连接。就背景而言,该设置目前在这些服务的生产环境中有效。这里唯一改变的部分是 Envoy,我目前正在测试它作为当前基础设施的替代方案。 我正在尝试做的事情:我想嗅探来自 GRPC 服务器的流量以查看它何时发送 GOAWAY 并尝试将其跟进到客户端,以实际查看客户端是否尝试重新连接但总是从 Envo...
我真的只需要帮助来理解下面的图片,但我会提供背景信息。 我们有一个应用程序配置为在端口 8080 上使用代理,并且需要 Internet 访问。在一天中的随机时间,该应用程序无法连接并死机。我们正在尝试找出原因。我们已经排除了 FW 和代理 URL 规则(它在工作时总是命中相同的 URL,但无论如何都会失败)。我认为问题与网络有关,与代理本身的性能问题有关。为了查明原因,我一直在发生这种情况时进行网络捕获。 如果您查看下图,您会发现这是删除了 IP 详细信息的片段。源为“42”的第一行是客户端计算机通过代理 (IP 35) 在端口 8080 上发出 TLS ...
我在 Hyper-V 上有一个 Windows 10 VM。这是一个生产系统(是的,我知道),它运行着多个关键服务,我需要分析这些服务,以便将其迁移到更好的系统。我需要捕获该系统上的网络流量,以确保所有服务都得到覆盖,并且可以对其进行防火墙保护。 问题出在与该机器相关的环境中。它托管在 20Gbps 中继的生产 Hyper-V 环境中(因此我无法安装任何东西,端口镜像会压垮 1Gbps 目标,端口镜像过滤会压垮交换机),虚拟机可用的存储空间非常小,因此无法进行本地捕获,任何可能导致服务中断的事情都无法进行。 如果这是一台 Linux 机器,那么获取我需要的东...
![[发送带附件的邮件]: TCP 重传,重复 ACK => TCP 重置](https://linux22.com/image/785373/%5B%E5%8F%91%E9%80%81%E5%B8%A6%E9%99%84%E4%BB%B6%E7%9A%84%E9%82%AE%E4%BB%B6%5D%3A%20TCP%20%E9%87%8D%E4%BC%A0%EF%BC%8C%E9%87%8D%E5%A4%8D%20ACK%20%3D%3E%20TCP%20%E9%87%8D%E7%BD%AE.png)
因此,我们在 LAN 站点 A 上有一个运行 Postfix 的 Linux 机器,它将电子邮件发送到位于站点 B 的 Microsoft Exchange 服务器。当邮件中没有附件时,此操作运行正常。但是,一旦有大小约为 2 MB 及以上的附件,邮件将不会被发送。相反,客户端会重新发送相同的数据包 8 次,然后重置 TCP 连接来自客户的图片 ...
我有一个应用程序,它使用 PF_Ring 零拷贝作为其数据包嗅探功能的一部分。当此应用程序运行时,是否可以使用 ifconfig 找出 RX/TX 流量的数量,或者说 ifconfig 不会显示正确的 RX/TX 流量,因为操作系统无法访问传入的数据包,这种说法是否正确? ...
我正在尝试找出 Linux 主机在启动时发送的数据包,以便对其进行调试。 有没有办法在启动时启动数据包捕获,以免遗漏任何数据包?您是如何做到的? 我找到了一个 Red Hat 指南,但它需要付费。无论如何,一定有办法。 ...