10得票2回答
数据包捕获:基于接收和发送过滤

我遇到了一个网络问题,源MAC地址与我的主机的源MAC地址之一匹配的帧到达了主机 - 这是一个明显的重复MAC地址、环路或其他L2问题。 我相信这是这种情况,因为我的Linux桥接的MAC表(CAM表)记录了上行端口上托管虚拟机的本地MAC地址,并且内核日志显示了错误信息。 bridgen...

6得票3回答
如何编写一个PCAP过滤器以捕获所有与DHCP相关的流量?

据我理解,对于IPv4,我需要捕获以下内容: - UDP端口67和68, - ARP协议, - ICMP回显请求和回复。 而对于IPv6,我需要捕获以下内容: - UDP端口546和547, - 所有与DHCP相关的组播地址, - ICMPv6邻居发现。 我想使用tcpdump或wir...

6得票4回答
当使用tcpdump进行数据包捕获时,如何查看数据包。

如何在使用tcpdump进行抓包时查看流量? 当我使用-w参数时,它不会在抓包过程中显示数据包。 sudo tcpdump -i enp2s0 -w test.pcap tcpdump: listening on enp2s0, link-type EN10MB (Ethernet), c...

5得票1回答
如何通过DHCPv6将多个IPv6地址分配给单个接口?

这似乎是可能的,根据规范rfc 3315 page 23: 摘录: IA中的配置信息包括一个或多个IPv6地址以及IA的T1和T2时间。有关在DHCP消息中表示IA的方法,请参见第22.4节。 然而,我还没有能够配置我的DHCPv6客户端以请求接口上的多个IP地址。 有人知道如何在Li...

5得票2回答
在多文件模式下,压缩tshark的输出

我正在使用tshark来转储无线流量。目前我正在以多文件模式运行,将输出分割成50MB的块。是否有办法将这些50MB的块压缩成gzip或lzma之类的格式? 我知道在单文件模式下,我可以将tshark的输出导入到gzip中,然后再分割,但我希望每个pcap文件都能够独立阅读,而不需要解压缩压...

5得票1回答
如何使用tshark过滤任何DNS请求

有人知道我如何在tshark中过滤请求任意记录的DNS请求吗? 到目前为止,我已经可以用以下命令过滤DNS查询: tshark -r capture.cap -T fields -e ip.src -e ip.dst -e dns.qry.name -R "dns.flags.response...

3得票2回答
将一个pcap文件缩小到特定NFS文件的所有操作。

我有一个80GB的数据包捕获(libpcap),我想将其过滤为涉及特定NFS文件/文件句柄上的所有操作。 我该如何实现这一目标? 关于我想要捕获的内容,我了解以下事实(以tshark显示格式): nfs.name == ".o1_mf_1_1093__1366653401581181_....

3得票3回答
在一个Linux主机上记录网络流量,实时传输到另一个主机。

我有一个情况,我想在一个Linux主机上捕获所有的网络流量(目前使用tcpdump),但要将这些数据实时传输到另一个连接的网络上的另一个Linux主机。基本上,我有这样的需求。 [network i'm curious about]---[eth0. Linux box eth1]----[...

3得票1回答
如何从一个大的pcap文件中导出超过1000个HTTP请求体?

我有一个包含HTTP请求的pcap文件(约2.3G)。我需要以某种方式提取每个请求的主体,以便进一步处理。每个请求单独保存在一个文件中会很好,但对此我可以灵活处理。 我在tshark中找到了一些有希望的东西,因为这个命令几乎满足我的需求。 tshark -r capture.pcap --...