タグ付けされた質問 「tcpdump」

172.16.11.5および172.16.10.6からsshで接続すると、以下に示すように非対称デュアルブリッジトポロジがありますが、SynProxyが原因で接続できません。 ------- | | ---o--- 172.16.11.5 | | -----o----- 172.16.11.6 | | | | default gw 1.1.1.1 | | 1.1.1.2/30 --o----o--- 2.2.2.2/30 | | | | | | (enp10s0f0) ----o----o----- | | | XXX | | | | br1 br0 | synproxy | | ----o----o----- | | | | | …

12 linux  linux-networking  tcp  tcpdump 

私の挑戦 大量のデータのtcpdumpを実行する必要があります。実際には、多くのトラフィックを見ることができる無差別モードのままの2つのインターフェースからです。 まとめると 2つのインターフェイスからの無差別モードのすべてのトラフィックを記録します これらのインターフェイスにはIPアドレスが割り当てられていません pcapファイルは〜1Gごとにローテーションする必要があります 10 TBのファイルが保存されたら、最も古いファイルの切り捨てを開始します 私が現在していること 現在、私は次のようにtcpdumpを使用しています。 ifconfig ethX promisc ifconfig ethX promisc tcpdump -n -C 1000 -z /data/compress.sh -i any -w /data/livedump/capture.pcap $FILTER に$FILTERはsrc / dstフィルターが含まれているため、を使用できます-i any。この理由は、2つのインターフェイスがあり、2つではなく1つのスレッドでダンプを実行したいからです。 compress.sh tarを別のCPUコアに割り当て、データを圧縮し、適切なファイル名を付けて、アーカイブの場所に移動します。 2つのインターフェイスを指定できないため、フィルターを使用してanyインターフェイスからダンプすることを選択しました。 現在、私はハウスキーピングを行いませんが、ディスクの監視を計画しており、100Gが残っているときに最も古いファイルの消去を開始します-これで問題ありません。 そしていま; 私の問題 ドロップされたパケットが表示されます。これは、数時間実行され、およそ250ギガバイトのpcapファイルを収集したダンプからのものです。 430083369 packets captured 430115470 packets received by filter 32057 packets dropped by …

11 linux  networking  tcpdump 

tcpdumpでVLAN 1000またはVLAN 501をキャプチャしたいman pcap-filter。 vlan [vlan_id]式は、VLAN階層でフィルタリングするために複数回使用できます。その式を使用するたびに、フィルターオフセットが4ずつ増加します。 私がする時： tcpdump -vv -i eth1 \( vlan 1000 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \) キャプチャされたパケットを取得します。 しかし、私がするとき： tcpdump -vv -i eth1 \( vlan 1000 or vlan 501 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \) パケットを取得していません-マニュアルページに記載されている「4ずつインクリメントする」動作のためだと思います。 一度に複数のVLANでトラフィックをキャプチャするにはどうすればよいですか？

11 sniffing  vlan  packet-capture  tcpdump 

回線のリンク品質をでテストしましたiperf。測定された速度（UDPポート9005）は96Mbpsでした。これは、両方のサーバーが100Mbpsでインターネットに接続されているためです。一方、データグラムの損失率は3.3〜3.7％であり、少し多すぎることがわかりました。高速転送プロトコルを使用して、で両側のパケットを記録しましたtcpdump。パケット損失を計算した場合よりも、平均0.25％。この大きな違いがどこから来ているのか、誰か説明がありますか？あなたの意見では許容できるパケット損失とは何ですか？

10 tcpdump  packetloss  iperf 

非常に大きなtcpdumpファイルをキャプチャしました。このファイルは常に私のワイヤーシャークをクラッシュさせます。フィルターなしでキャプチャされたため、後でファイルを小さくするためにいくつか適用する必要があります。 これはどういうわけか可能ですか？

9 wireshark  tcpdump  filter 

私がしなければならないこと（Linux経由の 'tcpdump'経由）： •eコマースアプリサーバー：192.168.1.2、192.168.1.3、192.168.1.4。- これは私がキャプチャしたいものです（これらの正確なIPでフィルタリングされています）。IP範囲（サブネット）または個別のIPアドレスではなく、いくつかのIPアドレス/サーバーのみ。 •この範囲内には他のアプリケーションがあります。たとえば、PayRollアプリは192.168.1.5上にあり、キャプチャにこのトラフィックを表示したくありません。 私は試しました： tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000 そしてまた： tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000 どちらも構文エラーを返します。 どんな助けでも大歓迎です。

9 tcpdump 

TCPDUMPを使用して、特定のIPアドレスからのトラフィックをキャプチャしています。新しい接続のみ、つまりSYNパケットで始まるTCPストリームのみをキャプチャする可能性はありますか？ ありがとうございました

9 tcpdump 

ホストのソースMACの1つと一致するソースMACを持つフレームがホストに到達するというネットワークの問題があります-明らかな重複するMAC、ループ、またはその他のL2問題。 私のLinuxブリッジのMACテーブル（CAMテーブル）がローカルMAC（ホストされた仮想マシン用）をアップストリームポートにあるものとして登録し、カーネルログにエラーが表示されるため、これは状況であると私は信じています。 bridgename: received packet on bond0.2222 with own address as source address これらの「不正な」パケット/フレームの詳細を入手したいのですが、それらをどのように調整するかわかりません。tcpdumpを使用すると、特定のソースMAC（「ether src MAC」）でフィルタリングできますが、これは、フレームが「送信」されたか「受信」されたかではなく、フレームのバイトに基づいています。通常、送信元MACを持つフレームは送信することを意味しますが、重複したフレームを受信した場合、コンテンツはフィルターとまったく同じに見えます。 パケットキャプチャでフレームが受信されたか送信されたかをどのように確認できますか？

8 linux  tcpdump  interface  pcap 

接続できないように見えるpython ircボットをデバッグする過程で、「わかっています。tcpdumpを実行して、何が実行されているかを確認します」と考えました。だから私はいつものようにtcpdumpを実行しました、そしてそれはそれがキャプチャされたパケットであると言います、しかし実際にはcapファイルを書きません。 akraut@lance ~/pcaps $ sudo tcpdump -w pyhole -s 0 "port 6667" tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes ^C17 packets captured 17 packets received by filter 0 packets dropped by kernel 4294966881 packets dropped by interface akraut@lance ~/pcaps $ ls -la total 8 drwxr-xr-x …

8 networking  filesystems  tcpdump 

tcpdumpの出力形式を制限または変更してtcpシーケンス番号のみを出力する方法を探しましたが、これを行う方法が見つかりませんでした。アドバイスをお願いできますか？ Ubuntuで実行しています。tcpdumpでこれを行う方法がない場合は、一部のlinuxコマンドでこれを行う他の方法も有効ですが、tcpdumpで直接これを行う方法をお勧めします。

1 linux  tcpdump