我正在使用像这样的命令行来高速重放一个巨大的 PCAP 文件 - 我正在对以下各个方面进行基准测试tcpreplay: sudo tcpreplay --mbps=1000 --intf1=docker0 linuxbig_log.pcap 由于我不想惹恼我们的系统管理员,我使用我的本地docker安装作为一个存储桶来将所有无效数据倒入其中,但感觉有点像黑客攻击,我的随机数据实际上可能会对docker系统造成一些恶意的影响。 我可以使用tcpreplay-edit并将目标 IP 地址更改为某个黑洞地址,并希望最近的路由器丢弃它们,但我仍然会阻塞其他用户的本...
在 wireshark 中,有一个名为的选项Cisco remote capture: ciscodump,据我了解,它应该能够通过 SSH 在 cisco 路由器(例如)上执行 tcpdump,并直接在 Wireshark 中返回结果。 我没有找到任何有关 cisco 方面的文档,说明如何实现这一点。如何使用 ciscodump 来实现此目的? ...
我正在学习自己使用 snort,但我不知道是否能很好地从文件生成警报。 我在 local.rules 中制定的规则是: alert icmp any any -> any any (msg:"Testing ICMP"; sid:1000001;) alert tcp any any -> any any (msg:"Testing TCP"; sid:1000002;) alert udp any any -> any any (msg:"Testing UDP"; sid:1000003;) 我使用的命令是这样的: snort -c ...
我的 PCAP 中有一个 JPEG GET 请求,如下所示,但当我导出它时,它不是一个有效的 JPEG 文件 对于我做错的事情有什么建议吗? ...
我最近买了一台 ALFA AWUSO36EAC,我想在 Mac OS 上使用它进行数据包注入和监控模式。有人告诉我,这是一个询问网卡相关问题的更好的页面。我已经安装了驱动程序,它可以很好地连接到 wifi。但是我无法让它进入监控模式。我使用了 pcap 库。如果相关的话,这是我的 c++ 代码: char errbuf[PCAP_ERRBUF_SIZE]; char dev[] = "en7"; pcap_t *handler=pcap_create(dev, errbuf); if (handler == NULL){ ...
我正在使用 tshark,我需要找出 10,0000 个数据包中有多少个包含HTTP URI 因此,我编写了如下代码行: tshark -r tsharklab.pcap -Y "http.request.uri" 但是,当它运行时,它会提供所有这些信息,而无需重新格式化数据包号。 点击此处查看屏幕截图 我需要实现的是计算过滤完成后返回的数据包的数量。 任何帮助是极大的赞赏 ...
NAT 后面的两台 Linux 机器(在 vSphere 上运行的 Ubuntu 20.04 和 18.04.4)无法完成与https://microsoft.com和的 TLS 握手https://mcr.microsoft.com,但它们能够连接到https://docs.microsoft.com和 其他网站。我自己管理防火墙和 NAT(虚拟 VyOS 路由器)。同一 NAT 后面的另一个系统可以访问https://microsoft.com。我已经尝试更新所有软件包,并尝试过curl --resolve不同的 Microsoft IP。 我在尝试使...
我在 Linux 上使用 libpcap 捕获来自无线适配器 (2.4 GHz) 的网络流量。它pcap_setdirection似乎允许您设置捕获设备,以便它忽略来自该设备的流量,但当我尝试将其设置为仅返回传入流量时,我收到错误。 我的 libpcap 版本似乎是 1.9.1,因此应该支持定向捕获。我知道有线以太网有传输和接收线路,可用于区分传出数据和传入数据,但我不确定 WiFi 适配器是否有办法确定流量来自哪个设备(自身或其他设备)。 使用 libpcap 限制流量方向是否有任何特殊的硬件或内核要求(无 WiFi、内核设置、适配器支持等)? ...
我有两个 pcap 文件,我想找出它们之间的差异。并将差异存储在另一个 pcap 文件中。 我尝试了 diff 命令,但它不适合二进制文件,我也使用了 pcap_diff 工具,但结果不一致,我的意思是 pcap1 大小 - pcap2 大小 # diff pcap 大小。 请问有什么帮助吗? ...
我正在使用 tcpdump 查看一些 pcap 文件,但在输出中,我看到以下错误,而不是获取标头信息: packet exceeded snapshot 我用 Google 搜索了一下,但没有找到关于这个错误的含义以及导致这个错误的原因的任何详细解释。 ...
我的问题是,当网络具有足够的链路带宽时,为什么 TCP 流会重新传输。为了找到原因,我使用了 wireshark。我在主机端 (10.0.0.1) 捕获了以下内容 25434 50.968633785 10.0.0.1 10.0.0.2 TCP 33370 42848 → 50004 [ACK] Seq=14063654 Ack=1 Win=29696 Len=33304 TSval=290016 TSecr=290011 25435 50.968637512 10.0.0.1 10.0.0.2 TCP 31274 42848 → 50004 [PSH...
我想捕获流量或路由器并通过tzcp或其他 udp 协议将其发送到远程主机。 如何通过 UDP 传输捕获的数据包?tcpdump 或其他工具 用例: Linux 机器无需白色 IP 即可连接到互联网。连接到感兴趣的网络。 我运行带有参数“arp 或 icmp”的工具,并将包含此数据包的 udp 数据包传输到远程主机。 在远程主机上,scapy我可以分析远程流量。 ...
我正在执行一项任务,我的安全团队要求我提供文件夹 /var/log/snort 下的 pcap 文件。他们从警报文件中获取了源 IPADDRESS,他们需要对该源 IP 地址的 pcap 文件(即 snort.log.xxxxxxx)进行更多分析。 警报文件和 snort.log.xxxxx 文件位于同一文件夹中。如何向他们提供准确的 snort.log.xxxxx 文件以供分析?请提供一些命令或任何技术来执行此操作。我对这个领域很陌生,我正在处理 snort 正在转储日志的 Linux 机器(Centos 7)。 ...
我正在开发一个程序,其中 .pcap 文件将作为输入。但是,当我在终端中运行 tcpdump -w someFile.pcap 时,.pcap 文件会捕获额外的数据,例如时间戳、微秒、帧长度等。 这些额外的数据妨碍了我的程序,我想知道是否有办法让 tcpdump 只捕获原始数据包而不捕获其他内容。 例如,.pcap 中的第一个数据字节应该是以太网报头的“目标地址”,而不是某个时间戳。 谢谢! ...
