Запуск tcpdump запускает SSH-флуд

Question

Запуск tcpdump запускает SSH-флуд

У меня Linux во время выполнения работает в ПЛК. Моя машина для разработки работает под управлением Ubuntu 14.04. ПЛК и машина разработки подключены через пятипортовый коммутатор. Я перешёл в PLC с моей машины разработки, чтобы перенести исполняемый файл сетевого приложения, которое я разрабатываю на моей машине разработки.

Я запускаю tcpdump на ПЛК для отладки пакетов, которые мое сетевое приложение получает, НО, как только я запускаю tcpdump, запускается поток синхронизации по ssh, и он снова и снова переходит с моего компьютера с Ubuntu на ПЛК. Светодиоды контроллера Ethernet ПЛК, а также на коммутаторе начинают быстро мигать. Поток переполняет ПЛК, и он почти умирает, в то время как все другие пакеты отбрасываются. Это похоже на DOS-атаку, когда я запускаю tcpdump, но как только я прекращаю tcpdump, все успокаивается и возвращается к нормальному состоянию.

Я хотел бы знать лекарство от этой проблемы и почему это происходит?

Любая помощь будет оценена.

-1

ssh tcp tcpdump flooding embedded-linux

Источник

Awais 12 ноя '18 в 04:41

1 ответ

Решение

Другие вопросы по тегам ssh tcp tcpdump flooding embedded-linux

Zoredache 12 ноя '18 в 06:26 2018-11-12 06:26 · Accepted Answer · 2018-11-12 06:26

Моя команда просто> tcpdump -i eth0. но я не понимаю, почему запуск tcpdump внезапно приводит к огромному объему трафика.

Попробуйте взглянуть в зеркало на зеркало, и вы поймете, как это происходит. Если нет, попробуйте посмотреть в зеркало и зеркало и не дать зеркалу увидеть себя.

Потому что ваш трафик SSH также является частью перехвата, который регистрируется и передается через сеанс SSH. Конечно, поскольку он зашифрован, это означает, что вы ничего не видите внутри пакета SSH, но когда tcpdump распечатывает заголовки для пакета на ваш терминал, эти изменения на ваш терминал передаются по сети. Но эти изменения, передаваемые по сети, приведут к захвату / отображению большего количества данных по сети и т. Д.

В любом случае, решение отфильтровывает ssh из вашего захвата, или клиентского компьютера, или обоих. Также настройка -n возможность запретить tcpdump выполнять поиск DNS, а также загрязнять ваш захват запросами / ответами DNS, которые не имеют ничего общего с фактической активностью.

tcpdump -ni eth0 not port 22
tcpdump -ni eth0 not host ip.of.the.sshclient
tcpdump -ni eth0 not host ip.of.the.sshclient and not port 22