Questions tagged «pcap»

6
如何以友好格式读取pcap文件?
pcap文件上的一只简单的猫看起来很糟糕: $cat tcp_dump.pcap ?ò????YVJ? JJ ?@@.?E<??@@ ?CA??qe?U????иh? .Ceh?YVJ?? JJ ?@@.?E<??@@ CA??qe?U????еz? .ChV?YVJ$?JJ ?@@.?E<-/@@A?CAͼ?9????F???A&? .Ck??YVJgeJJ@@.?Ӣ#3E<@3{nͼ?9CA??P?ɝ?F???<K? ?ԛ`.Ck??YVJgeBB ?@@.?E4-0@@AFCAͼ?9????F?P?ʀ??? .Ck??ԛ`?YVJ?""@@.?Ӣ#3E?L@3?Iͼ?9CA??P?ʝ?F????? ?ԛ?.Ck?220-rly-da03.mx 等等 我尝试通过以下方式使它更漂亮: sudo tcpdump -ttttnnr tcp_dump.pcap reading from file tcp_dump.pcap, link-type EN10MB (Ethernet) 2009-07-09 20:57:40.819734 IP 67.23.28.65.49237 > 216.239.113.101.25: S 2535121895:2535121895(0) win 5840 <mss 1460,sackOK,timestamp 776168808 0,nop,wscale 5> 2009-07-09 20:57:43.819905 IP 67.23.28.65.49237 …
139 log-files  tcpdump  pcap 

5
如何将pcap文件拆分为一组较小的文件
我有一个巨大的pcap文件(由tcpdump生成)。当我尝试在Wireshark中打开它时,该程序变得无响应。有没有办法将文件拆分为一组较小的文件,以一个一个地打开它们?文件中捕获的流量是由两台服务器上的两个程序生成的,因此我无法使用tcpdump“主机”或“端口”过滤器拆分文件。我也尝试了linux'split'命令:-),但是没有运气。Wireshark无法识别格式。
47 tcpdump  pcap 

6
通过TCP连接分割pcap文件的工具?[关闭]
关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗? 更新问题,使它成为服务器故障的主题。 2年前关闭。 是否有工具可以将每个TCP连接的数据包捕获文件(以pcap格式)拆分为单独的文件?(而不是可能需要在捕获上运行两次的本地生成的Shell脚本...)。类似于wireshark的“跟随TCP流”,但用于命令行(恐怕wireshark在显示700 MB数据包捕获时会消耗大量内存) 我看了看tcpflow,但看起来它产生的文件比原始pcap文件大得多,而且似乎不是pcap格式。

2
数据包捕获:RX与TX上的过滤
我有一个网络问题,其中与源MAC与主机的源MAC之一匹配的源MAC的帧到达主机-明显重复的MAC,环路或其他L2问题。 我相信是这种情况,因为我的Linux网桥的MAC表(CAM表)将本地MAC(对于托管的虚拟机)注册为上游端口,并且内核日志显示错误: bridgename: received packet on bond0.2222 with own address as source address 我想获得有关这些“恶意”数据包/帧的更多详细信息,但我不知道如何将它们归零。使用tcpdump可以过滤特定的源MAC(“ ether src MAC”),但这是基于帧中的字节的-而不是帧是“发送”还是“接收”。通常,我们假定源MAC表示一个帧,这意味着我们正在发送它,但是如果接收到重复的帧,则其内容在过滤器中看起来将完全相同。 如何观察在包捕获中是接收帧还是发送帧?

2
与Linux tc过滤器u32匹配的数据包数据有效载荷不一致-有人可以解释吗?
我只想提出一些建议,因为我真的不明白-为什么-是这种情况。 当服务器向其发出常规GET请求时,“ HTTP”响应的TCPDUMP输出(tcpdump -s0 -XXnni eth0 tcp端口80)进一步向下。我想做的是使用Linux u32 tc过滤器匹配TCP ack数据包的内容,查找字符串'HTTP / 1。[01] TCP ack数据包的数据有效负载中的200“(换句话说,寻找典型的“ HTTP / 1.0 200 OK”响应或“ HTTP / 1.1 200 OK”响应)。 这是tc filter命令的一个片段-这可能有助于将内容放在上下文中: tc filter add dev eth0 parent ffff: protocol ip u32 \ match ip protocol 6 0xff \ match ip sport 80 0xffff \ match …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.