Questions tagged «tcpdump»

当我使用ssh从172.16.11.5和172.16.10.6连接时，我具有如下所示的非对称双桥拓扑，但是由于SynProxy我无法连接。 ------- | | ---o--- 172.16.11.5 | | -----o----- 172.16.11.6 | | | | default gw 1.1.1.1 | | 1.1.1.2/30 --o----o--- 2.2.2.2/30 | | | | | | (enp10s0f0) ----o----o----- | | | XXX | | | | br1 br0 | synproxy | | ----o----o----- | | | | | …

12 linux  linux-networking  tcp  tcpdump 

我的挑战 我需要做很多数据的tcpdump-实际上是从处于混杂模式的2个接口中，这些接口能够看到大量流量。 把它们加起来 从2个接口以混杂模式记录所有流量 这些接口未分配IP地址 pcap文件必须每1G旋转一次 当存储10 TB的文件时，开始截断最旧的文件 我目前正在做什么 现在我像这样使用tcpdump： ifconfig ethX promisc ifconfig ethX promisc tcpdump -n -C 1000 -z /data/compress.sh -i any -w /data/livedump/capture.pcap $FILTER 该$FILTER包含SRC / DST过滤器，这样可以使用-i any。这样做的原因是，我有两个接口，我想在一个线程中而不是两个线程中运行转储。 compress.sh 负责将tar分配给另一个CPU内核，压缩数据，为其提供合理的文件名，然后将其移动到存档位置。 我不能指定两个接口，因此我选择使用过滤器并从any接口中转储。 现在，我不做任何内务处理，但是我计划监视磁盘，并且当我剩下100G时，我将开始擦除最早的文件-这应该没问题。 现在; 我的问题 我看到丢包了。这是从运行了几个小时的转储中收集的大约250个gpcap文件： 430083369 packets captured 430115470 packets received by filter 32057 packets dropped by …

11 linux  networking  tcpdump 

我希望tcpdump捕获VLAN 1000或VLAN501。man pcap-filter说： vlan [vlan_id]表达式可以多次使用，以过滤VLAN层次结构。每次使用该表达式都会使过滤器偏移量增加4。 当我做： tcpdump -vv -i eth1 \( vlan 1000 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \) 我收到了捕获的数据包。 但是当我这样做时： tcpdump -vv -i eth1 \( vlan 1000 or vlan 501 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \) 我没有收到任何数据包-我认为是因为手册页中描述的“按4递增”行为。 如何一次捕获多个VLAN上的流量？

11 sniffing  vlan  packet-capture  tcpdump 

我测试了一条线的链接质量iperf。测得的速度（UDP端口9005）为96Mbps，这很好，因为两台服务器均以100Mbps的速度连接到Internet。另一方面，数据报丢失率显示为3.3-3.7％，我发现这有点太多。使用高速传输协议，我用记录了双方的数据包tcpdump。比我计算的丢包率-平均0.25％。有谁能解释这个巨大差异可能来自何处？您认为可接受的丢包是什么？

10 tcpdump  packetloss  iperf 

我捕获了一个很大的tcpdump文件，该文件现在总是使我的wireshark崩溃。它是在没有过滤器的情况下捕获的，之后我需要套用一些文件以缩小文件大小。 这可能吗？

9 wireshark  tcpdump  filter 

我需要做的事情（通过Linux的“ tcpdump”）： •电子商务应用服务器：192.168.1.2、192.168.1.3、192.168.1.4。- 这就是我要捕获的内容（已过滤这些确切的IP）。不是IP范围（子网）或单个IP地址，而是几个IP地址/服务器。 •此范围内还有其他应用程序，例如PayRoll App位于192.168.1.5上，我不想在捕获中看到任何此类流量。 我尝试过： tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000 并且： tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000 两者都返回语法错误。 任何帮助深表感谢。

9 tcpdump 

我正在使用TCPDUMP捕获来自特定IP地址的流量。是否有可能仅捕获新连接，即以SYN数据包开头的TCP流？ 谢谢

9 tcpdump 

我有一个网络问题，其中与源MAC与主机的源MAC之一匹配的源MAC的帧到达主机-明显重复的MAC，环路或其他L2问题。 我相信是这种情况，因为我的Linux网桥的MAC表（CAM表）将本地MAC（对于托管的虚拟机）注册为上游端口，并且内核日志显示错误： bridgename: received packet on bond0.2222 with own address as source address 我想获得有关这些“恶意”数据包/帧的更多详细信息，但我不知道如何将它们归零。使用tcpdump可以过滤特定的源MAC（“ ether src MAC”），但这是基于帧中的字节的-而不是帧是“发送”还是“接收”。通常，我们假定源MAC表示一个帧，这意味着我们正在发送它，但是如果接收到重复的帧，则其内容在过滤器中看起来将完全相同。 如何观察在包捕获中是接收帧还是发送帧？

8 linux  tcpdump  interface  pcap 

在调试似乎无法连接的python irc bot的过程中，我想：“我知道，我只是将其tcpdump并查看其作用。” 因此，我像往常一样运行tcpdump，它说这是捕获的数据包，但实际上并未写入cap文件。 akraut@lance ~/pcaps $ sudo tcpdump -w pyhole -s 0 "port 6667" tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes ^C17 packets captured 17 packets received by filter 0 packets dropped by kernel 4294966881 packets dropped by interface akraut@lance ~/pcaps $ ls -la total …

8 networking  filesystems  tcpdump