Questions tagged «packet-analysis»

我目前正在大学攻读网络工程学士学位，我的一位教授在课堂上解释说，显示例如15个跃点的跟踪路由实际上是对路径的抽象，实际上涉及更多的节点。这是真的？ 这与我在traceroute上可以找到的所有内容相矛盾。据我所知，traceroute的工作原理是将TTL从0-> n的ICMP（或UDP）数据包发送到特定目标，直到到达目标为止。沿途在每个位置连续发送出去的探测数据包将超时，从而产生ICMP“超时”答复，并在到达目的地时最终产生“端口不可达”消息。 我了解traceroute的不完善之处-例如，traceroute流量可能会被某些网关阻止，或者将回复数据包的TTL设置为探针的剩余TTL，从而使其永远不会返回给发送者。 但是，经过大量研究，在跟踪路由始终返回相同路径的情况下，我找不到任何引用跟踪路由的信息。同样，没有任何内容引用traceroute未报告的任何“额外”跃点（但* * *跃点没有应答而超时）。 我愿意进行讨论，并且我真的很想知道答案。

35 routing  packet-analysis 

我一直在寻找一个硬件网络分流这样一个更换一个已经Catalyst交换机上运行的伪永久SPAN。我发现的所有分接头都有四个接口：A，B和两个输出端口（每个方向一个）。理想情况下，我希望将双向的流量集中到一根电缆中，因此我只需要从一个接口捕获即可。为什么抽头似乎总是有两个输出端口？

35 tap  packet-analysis 

设置 我们已租用了几条租用的线路，这些线路将自己呈现为第2层网络，即，您在数据中心有一条大管道，而远程站点的管道则较小。在第2层网络中，您可以执行任何操作。他们可能使用802.1ad为每个客户在其网络内提供各自的网络。AFAICS大多数站点通过纯VDSL连接。 我们决定在每个站点上放置一个路由器，并为每个站点提供自己的VLAN。因此，DC上的防火墙定义的VLAN与站点的数量一样多。因此，每个站点在其自己的VLAN中使用其在地址范围。 网络图： 问题 现在，我们面临吞吐量问题： 从站点到DC的FTP传输运行正常，速度约为10Mb / s。 以6Mb / s或更低的速度运行从DC到站点的FTP传输无法正常工作。 发起转移的一方无关紧要。唯一一致的事情是，一个方向行之有效。不幸的是，这是通往站点的方向，因为这是我们最需要的带宽，因为我们要使用终端服务器客户端。 传输大约10秒钟后，吞吐量下降。嗅探时会看到DUP ACK。这可能导致我在提供商端限制速率？（目前，他们没有任何线索，我想确保在升级之前我们没有过错） 注意远程站点以某种方式限制为10Mb。将“切换到都会”端口设置为10Mb也不起作用。实际上，这是最糟糕的情况（最大30 KB / s）。设置为100Mb可以正常工作，但已经开始产生上述问题。1G同样。 问题的摘要可以在这里下载： * http://178.63.11.6/dc-to-remote_dc-side.pcapng * http://178.63.11.6/dc-to-remote_remote-side.pcapng 诊断程序 在该图像中，您会看到带有一些错误详细信息的Wireshark IO图： 左侧：从DC到站点的FTP传输 在右侧：FTP从站点传输到DC 如果另一方发起传输（即从直流放置，而不是从远程放置），则问题仍然没有改变。 请让我沉迷于您认为可能是这里的问题。 更新＃1（上面集成） 更新＃2（ UPDATED） 这一定是一个拥塞控制的东西。 请注意，从DC到远程，我们有10G-> 1G-> 100M-> 10M-> 1G链接。<-不起作用 因此，在另一个方向上，我们得到相反的结果：1G-> 10M-> 100M-> 1G-> 10G。<-很好 第一个“ 1G-> 10M”是远程站点上的“不可见” 10M，其中包括上行链路端口速度在内的所有内容都设置为1G，即使它后面只有10M（已出售）也是如此。 但是，DC上的100Mbps是实际的100Mbps，物理层上的接口配置为100Mbps。 …

14 ethernet  tcp  troubleshooting  packet-analysis  metro-ethernet 

我有关于Wifi的问题，在任何地方都找不到答案。 是否可以通过wifi发送数据包而无需加入任何类型的网络（即席与否）？ 我希望能够在不加入网络的情况下在空中发送数据包。处于监视模式的另一台设备将能够识别应处理的数据包。我知道wifi可能不是做到这一点的最佳方法，只是想知道它在技术上是如何工作的。 确实，在无线网络发现期间必须发送某种数据包吗？在没有建立连接的情况下，如何通过网络传输各种SSID？通过wifi发送什么样的数据包来发现网络？ 如果有人能指出我有关此文档的方向，那我找不到。 非常感谢！

13 wireless  packet-analysis 

我不明白为什么网络上的一台机器在已经知道其MAC地址的情况下向网关询问其MAC地址： 所以在这里你可以看到本机MAC *** 80（IP 。 *。115）询问网关（Cisco_87），谁拥有10.1.10.1？换句话说，网关在哪里？但是它已经知道网关是谁，因为它直接向它发送了ARP！我可以理解这一点，如果查询是广播的，即ANYBODY可以告诉我网关是谁，但是数据包没有广播，那么它将直接发送到网关（CISCO_87），然后再发送给其他任何人，因此显然机器已经知道网关是谁。

10 ethernet  arp  packet-analysis 

我的以太网LAN上的某些内容有时会发出虚假的重复数据包，因此我需要对其进行跟踪。罪魁祸首很可能是交换机或其他网桥（例如Wi-Fi AP），而不是端点，因为被复制的数据包并不总是来自相同的源MAC地址。 我正在考虑获得一个支持端口镜像的可管理交换机，并将其与嗅探器一起使用，以嗅探进入和流出端口的流量，但是我需要知道每个捕获的数据包的发送方向，因此我可以知道哪个方向原件和副本来自。如果我能在网络上找到一个地方，原来的和复制品来自不同的方向，那么我将知道罪魁祸首必须在复制品来自的那一侧。 我的问题是，过去使用的端口镜像交换机仅允许我将给定端口的“双向”（发送和接收）镜像到镜像端口。 谁能提出一种解决方案，让我只反映一个方向？我正在考虑连接两个嗅探器，一个用于“ Tx”方向，一个用于“ Rx”方向，因此我可以确定数据包的传输方式。我不介意购买新的易于管理的开关或轻按以实现此目的。 我对跟踪虚假数据包重复源的其他想法持开放态度，但是请注意，我当前在该网络上的交换机不是非常可管理的，因此，解决方案假定交换机是可管理的（例如“启用某某类数据包跟踪” ”或“通过SNMP从所有交换机中提取统计信息并处理<app>中的数据”）在我的情况下不太实际。

10 switch  packet-analysis 

我的网络流量很大，希望将每个TCP会话划分为一系列请求和响应（我正在使用的协议都以这种方式工作，例如HTTP或SSL）。 我有一个简单的假设（忽略乱序和重发的数据包）-给定需要发送的数据块，它将使用最大可能的数据包发送，最后一个数据包小于最大大小或遵循来自另一侧的数据包（忽略ACK空数据包）。因此，在HTTP会话中，我希望看到类似的内容（再次，不考虑Ack）- 数据包1-请求“获取...” 封包2-回应，大小1434 数据包3-响应，大小为1434 数据包4-响应，大小为1434 数据包5-响应，大小为500 这是我在大多数会议中得到的，但是至少有一次我看到 数据包1-请求“获取...” 封包2-回应，大小1434 数据包3-响应，大小为1080 数据包4-响应，大小为1434 数据包5-响应，大小为500 没有重新传输，这里的数据包乱序或服务器上没有异常的延迟。 我想知道-是什么原因导致的？何时发生？我的假设有多错误？ 更新 我在这里放了一个示例pcap文件 更新2 包括tshark具有相关字段的转储... $ tshark -r http_1082.pcap -T fields -e frame.number -e frame.len \ -e ip.src -e ip.dst -e tcp.flags.push -e http.request.method \ -e http.request.uri -e http.response.code | head -n 47 1 66 192.168.1.103 …

10 ipv4  tcp  packet-analysis  protocol-theory