Описание тега pcap
PCAP расшифровывается как Packet CAPture.
2
ответа
Как использовать tshark или tcpdump для вычисления переданных байтов
Я использую эту команду с tshark: tshark -r pcapfile "tcp and ip.src==192.168.1.1" -T text -V -x | grep 'Total Length' По сути, это анализирует pcap только для соединений из исходного IP-адреса и ищет общую длину в байтах от каждого пакета. Я получа…
29 янв '15 в 21:01
1
ответ
Как назначить несколько адресов IPv6 с DHCPv6 для одного интерфейса?
Это представляется возможным на основании спецификации rfc 3315, стр. 23: Выдержка: The configuration information in an IA consists of one or more IPv6 addresses along with the times T1 and T2 for the IA. See section 22.4 for the representation of a…
12 май '14 в 12:09
3
ответа
Как будет выглядеть фильтр PCAP для захвата всего трафика, связанного с DHCP?
Насколько я понимаю, для IPv4 мне нужно было бы захватывать UDP-порты 67 и 68, ARP, ICMP эхо-запрос и ответ, а для IPv6 мне понадобится UDP-порты 546 и 547, все относящиеся к DHCP многоадресные адреса, Обнаружение соседа ICMPv6. Я хочу захватить свя…
16 авг '15 в 12:53
2
ответа
Ротация и обрезка потока pcap
Некоторые из моих серверов собирают много пакетных данных. Есть ли утилита (или патч для tcpdump(1)) записать поток pcap на диск, который: Поворачивается в зависимости от размера записанных данных. Чернослив записанные файлы, сохраняя только N самых…
15 мар '10 в 15:44
1
ответ
Зеркальное отображение трафика на сервере tcpdump и автоматическое сохранение pcaps
Нужно, чтобы порт зеркалировал интерфейс сетевого брандмауэра, подключил этот интерфейс к серверу Linux, и чтобы этот сервер Linux постоянно запускал tcpdump и сохранял вывод в файлах. В частности, мое требование заключается в том, чтобы файлы pcap …
09 авг '16 в 20:09
1
ответ
Поиск всех файлов pcap в папке и подпапках для определенного условия
У меня есть папка (содержащая много подпапок), полная файлов pcap, и я хотел бы получить все файлы pcap, содержащие пакеты, которые соответствуют определенному условию, например, "иметь IP-адрес источника 1.1.1.1". Знаете ли вы какой-нибудь инструме…
22 июл '16 в 05:47
1
ответ
(внутренний) захват пакетов в облачной сети VPC Google?
У меня есть сеть VPC, настроенная в облаке Google с несколькими запущенными экземплярами. Один из этих экземпляров служит в качестве машины VPN, позволяя мне взаимодействовать с экземплярами из Интернета. Я хочу захватить трафик: Из интернета в сеть…
05 сен '17 в 09:53
1
ответ
PCap фильтр по IP не отфильтровывает 0.0.0.0
У меня установлен фильтр PCap "dst net 10.36.95.0 mask 255.255.255.0". Это работает в том смысле, что он отфильтровывает большую часть трафика с пунктом назначения за пределами подсети 10.36.95.0/24, за исключением того, что он по-прежнему перехваты…
10 апр '15 в 15:29
2
ответа
Инструмент CLI для анализа захватов pcap
Я ищу инструмент командной строки, который будет смотреть на файл захвата, вывод tcpdump -w и давать вывод, эквивалентный информации, которую вы получаете в диалогах Wireshark, и статистику конечных точек. Чтобы дать вам небольшой обзор, у меня есть…
06 янв '11 в 19:26
1
ответ
Воспроизведение файла pcap для Snort
В настоящее время у меня есть следующая, предположительно стандартная установка: у меня есть физический сервер с запущенным Snort. Snort входит в свои файлы журнала, как и должно. Эти файлы отслеживаются barnyard2, который записывает трафик в базу д…
18 май '17 в 18:56
1
ответ
Как я могу экспортировать более 1000 тел запросов http из большого файла pcap?
У меня есть файл pcap (~2.3G), содержащий HTTP-запросы. Мне нужно каким-то образом извлечь тело каждого запроса, чтобы я мог продолжить его обработку. Каждый запрос в своем собственном файле будет работать хорошо, но я могу быть гибким в этом вопрос…
15 фев '18 в 06:00
2
ответа
Сжатие вывода tshark в режиме нескольких файлов
Я использую tshark для сброса беспроводного трафика. В настоящее время я работаю в режиме нескольких файлов, разбивая вывод на 50 МБ. Есть ли способ также сжать эти 50-мегабайтные куски чем-то вроде gzip или lzma? Я знаю, что в режиме одного файла я…
14 июл '14 в 08:59
2
ответа
Подсчет количества соединений в файле pcap
Какой инструмент можно использовать для подсчета количества соединений TCP и UDP внутри файла pcap?
01 авг '14 в 22:53
1
ответ
Сервер Freeradius не принимает учетные пакеты через tcpreplay
Я использую сервер свободного радиуса в системе A. Я отправляю тестовые запросы на учет с помощью radclient radclient -x systemA acct testing123 из системы B. Я вижу, что сервер радиуса получил эти запросы из своих журналов отладки. Я сохранил эти п…
18 окт '13 в 10:12
1
ответ
Как я могу восстановить сессию из файла pcap?
Я пытаюсь извлечь информацию об уровне сеанса (уровне потока) из моего файла трассировки pcap. Я хочу сгенерировать следующие данные для каждой строки сеанса (потока): Flow_num, IP_Src, IP_Dst, Flow_start_time, Flow_Duration, Flow_type (video/image/…
12 ноя '12 в 01:54
4
ответа
Как я могу увидеть пакеты во время захвата с помощью tcpdump
Как я могу увидеть трафик во время захвата с помощью tcpdump. Когда я использую -w, он не показывает пакеты во время захвата. sudo tcpdump -i enp2s0 -w test.pcap tcpdump: listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes ^C…
28 мар '19 в 09:55
0
ответов
Воспроизвести расшифрованный трафик ssl с помощью tcpreplay
У меня есть формат pcap из трафика https с одного из моих веб-серверов. Поэтому я могу использовать ключ с моего веб-сервера для расшифровки трафика в Wireshark. Проблема, с которой я сейчас сталкиваюсь, заключается в том, что я не могу получить нез…
30 апр '14 в 13:14
2
ответа
Идентификация пользователей VoIP
Я ищу способ идентифицировать как можно больше пользователей VoIP в сети ISP с помощью анализа пакетов. Моя установка такова: На моем основном коммутаторе весь трафик, входящий и выходящий из гигабитного порта 1, направляется на гигабит2, где у меня…
09 июл '10 в 20:26
1
ответ
Как определить повторную передачу на стороне клиента или на стороне сервера от pcap
Я пытаюсь получить некоторые разъяснения по поводу того, что читаю здесь: Как рассчитать потерю пакета из двоичного файла TCPDUMP Первый ответ говорит, что порядковый номер будет одинаковым от клиента к серверу и от сервера к клиенту, ack будет один…
18 фев '15 в 00:56
1
ответ
Убить завершенные сокеты (используя libpcap - tcpdump/tcpkill)
Я пытаюсь создать небольшой сервис, который отслеживает и убивает сокеты с флагом FIN. Я могу получить их с помощью tcpdump (я также попробовал tcp[13] & 1): tcpdump "tcp[tcpflags] & tcp-fin != 0" Предполагается, что tcpkill использует тот же ин…
12 июл '10 в 06:14