我需要为需要检查 IP 地址和 URL 的虚拟主机设置自定义过滤器。如下所示: _if_ _(_ http-request matches url _and_ ip is from certain host/net range _)_ _or_ ip is from a certain VIP range _then_ let the request through 我想知道我是否应该尝试将 IP 检查移至数据包过滤器,然后进行两次 IP 检查(以绕过 VIP 范围的 URL 检查)或者是否可以将其留在 irule 性...
我在一台监控机器上安装了 wireshark 来监控我们办公室的互联网流量(大约 40 台机器)。但是,每当我在大约 30-40 秒内启动 wireshark 时,它就会崩溃 - 我认为这是由于每秒接收的数据包量非常大(大约 10,000+ 个)。有没有什么办法可以解决这个问题?我尝试使用屏幕顶部附近的过滤器选项,但我仍然必须启用监控,而那时传递的数据太多了,计算机无法处理……我想! ...
所有, 我有多个安全监控设备,它们在一周内定期失去通信/连接。 我已经设置了 WireShark 来监控往返于交换机端口之一的网络流量。我发现,当与安全设备的通信失败时,大量异常流量会通过交换机端口传输(通常需要 2-8 小时才能生成 200M 的 pcap 文件,当通信失败时,我发现只需几秒钟即可生成一个 200M 的文件)。这种流量通常在我们的网络视频服务器(2 个)、视频墙(2 个工作站服务器)和网络摄像机(约 50 个)之间传输。发送到安全设备的数据包中的 IP 和 mac 地址字段与安全设备不匹配。 安全设备(7-8)、网络视频服务器、视频墙服务器...
我正在做一个项目,可以使用 netfilterqueue 重定向 tcp 中的网络流量(客户端发送到服务器 1 的数据包将被重定向到服务器 2),所以我需要根据数据包的 syn 和 ack 标志对数据包进行分类,并且我还需要修改数据包中的序列号和确认号,以便我可以说服服务器 2 与客户端建立连接。但我没有找到获取 tcp 数据包中的 syn、ack 标志和 seq、确认号的方法(不仅仅是显示数据包信息,还可以获取 syn 和 ack 标志以及 seq、确认号以打印和修改它们),如果有人能帮助我,我将不胜感激! ...
(抱歉我的问题很基础,但我没人可以问) 在同一网络内转发/传递 VLAN 数据包的路由器/智能交换机是否需要从它们转发数据包的给定 VLAN 分配 IP(通过 TRUNK 端口),或者它们只需要一个来自管理 VLAN 的 IP,以便管理员可以从该单个 VLAN 访问它们? ...
为什么我的 TCP 数据包没有到达目的地? 我从一台 PC 向另一台 PC 发送 http 请求,两台 PC 都位于 NAT 之后: NAT1 后面的 PC1 运行 Wireshark。 PC2 位于 NAT2 后面,该 PC2 发送 http 请求。 为了从外部打开对 NAT1 的访问,我在 PC1 的浏览器地址中输入 IP_of_NAT2。我在 Wireshark 中看到这些请求发往 IP_of_NAT2,并记下了此会话使用的端口号。 然后,我在 PC2 的浏览器地址中输入 IP_of_NAT1:PORT,但没有 TCP 数据包到达 PC1。 ...
我想了解,一旦数据包到达 WireGuard 接口(wg0),它会如何发送到 UDP 端口,然后从那里发送到接收对等体。 我读过 WireGuard 白皮书,上面写着 接口本身有一个私钥和一个它监听的 UDP 端口(稍后会详细介绍),后面跟着一个对等点列表 我对网络只有基本的了解,但我认为进程在端口上监听,那么网络接口在 UDP 端口上监听意味着什么? 如果网络接口有某种方式可以监听端口,那么在接收方,数据包同样可以从 UDP 端口在 WireGuard 接口上接收。这是正确的理解吗? ...
有人能帮我阻止网络上的所有传入流量吗?我的路由器上设置了端口转发,以允许端口 27017 上的传入请求发送到内部运行 Mongo 的 Mac,但我可以指定的一个 IP 地址除外?我尝试从 /etc/pf.conf 加载一个新的锚文件。在该文件中,我输入了以下内容: rdr pass on lo0 inet proto udp from xxx.xxx.xxx.xxx to any port 27017 -> 127.0.0.1 port 27017 rdr pass on lo0 inet proto tcp from xxx.xxx.xxx.xxx...
今天我看了下面的 iptables 丢弃数据包日志,但我不太理解这个日志。我希望有人能帮助我。 我只打开了入站 SSH 端口 2221,对于传出流量,我打开了 DNS 端口 53 作为协议 UDP。 iptables-dropped: IN= OUT=eno1 SRC=myserver.ip DST=179.124.36.195 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=42743 PROTO=ICMP TYPE=3 CODE=3 [SRC=179.124.36.195 DST=myserver.ip LEN=60 TOS...
我正在尝试创建一个与此 UDP 数据包中的以下模式匹配的 iptables 规则: 0x0000: 0000 030a 0000 0000 0000 0000 0000 0800 ................ 0x0010: 4500 0027 5d30 0000 6c11 232a 5164 585d E..']0..l.#*QdX] 0x0020: c0a8 6402 fe25 1e61 0013 b382 5341 4d50 ..d..%.a....SAMP 0x0030: c063 ba71 e2ea 63 ...
我想了解数据包的长度,例如,正常流量(没有 DDoS 攻击)数据包长度为 20-40,我认为这是正常的,一旦 DDoS 攻击开始,数据包长度就会超过 1000。我想知道这些长度为 1000 的数据包是否只是坏数据包,或者正常数据包是否也会因为 DDoS 攻击而增加其长度? ...
我需要别人的帮助 我有 3 个 Cisco 2960-X 分布交换机堆叠(1 个主交换机,2 个从交换机), 每周一次,我们的监控系统会提醒我们交换机已关闭,直到我们重新启动它。 我 ping/telnet 管理接口(来自同一个 VLAN)。但位于另一个 VLAN 上的监控服务器无法 ping 或访问交换机。原因是交换机无法 ping 或访问路由器(其 ip default-gateway)。 此外,当交换机开始变得疯狂时,我会收到 ping 命令向某些 IP 返回的 (DUP!) 重复数据包。有时它会显示 DUP!,有时则不会 我尝试关闭/不关闭...
我有1Gbit我的电脑上有以太网适配器。我的另一台电脑也有以太网适配器100兆位. 两者在一个局域网内,通过1Gbit交换机连接。 1 次测试:我尝试通过以下方式从我的计算机(1Gbit)向另一台计算机(100Mbit)发送数据包:UDP快速多于100Mbps。 预期结果:速度超过 100Mbps。接收计算机(100Mbit)上丢失了一些数据包。 实际结果:速度在100Mbps以下(约95~98Mbps)。所有数据包都在接收计算机(100Mbit)上接收。 发送端代码(使用PowerShell): $ipEndPoint = New-Object ...
我正在尝试通过查看 Linux 服务器的 KPI 来创建一个简单的异常警报检测。我想知道如果看到丢包(packet_in 和/或 packet_out),我什么时候应该发出警报。如果我取丢包总数/接收数据包的百分比(对发送的数据包也做同样的处理),然后如果我发现 20% 或更多的数据包被丢包,就发出警报,这有意义吗? 我确实知道丢包(已接收)可能是正常的,不应被视为服务器的问题,但我认为值得标记以报告本地子网或连接的交换机的更大问题。但是,发送的数据包错误可能表明 NIC 卡存在问题,连接设备的速度协商问题。因此标记丢包 % >=20 是否公平?非常...
假设您坐在家里的电脑前,https://google.com通过您选择的浏览器发出请求。TCP 握手完成,Google 的服务器发送 HTML/JS 页面(以及它使用的任何其他资源)。 这些页面太大,无法在一个数据包中发送,因此它将页面分成多个部分……因此数据包s 有效载荷(数据)会按顺序到达吗? 喜欢: 数据包 1- 最先收到 <html> <head> <script src='./blah/blah.js'</script> </head> ...