คำถามติดแท็ก tcpdump

ฉันถูกขัดจังหวะtcpdumpด้วยCtrl+ Cและได้รับบทสรุปทั้งหมดนี้: 579204 packets captured 579346 packets received by filter 142 packets dropped by kernel "แพ็คเก็ตที่ถูกลดลงโดยเคอร์เนล" คืออะไร? ทำไมถึงเกิดขึ้น?

49 kernel  tcpdump 

ถ้าฉันต้องการที่จะ tcpdump ร้องขอ DNS โดยลูกค้า (บนเราเตอร์ OpenWrt 10.04) จากนั้นฉัน root@ROUTER:/etc# tcpdump -n -i br-lan dst port 53 2>&1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on br-lan, link-type EN10MB (Ethernet), capture size 96 bytes 22:29:38.989412 IP 192.168.1.200.55919 > 192.168.1.1.53: 5697+ A? foo.org. (25) 22:29:39.538981 …

27 pipe  tcpdump 

ดังนั้นทีมรักษาความปลอดภัยด้านไอทีของมหาวิทยาลัยและฉันก็เดินไปรอบ ๆ อย่างไม่หยุดหย่อน ... ใครมีความคิดในเรื่องนี้: ฉันเพิ่งตั้งค่าไฟล์เซิร์ฟเวอร์ขนาดเล็กสำหรับห้องปฏิบัติการที่ใช้ Debian 8.6 บนคอมพิวเตอร์เฉพาะ (โปรเซสเซอร์ Intel Avoton C2550 - ยินดีที่จะให้ข้อมูลฮาร์ดแวร์เพิ่มเติมหากจำเป็น แต่ฉันคิดว่าไม่จำเป็น) Debian ติดตั้งโดยไม่มีปัญหาใด ๆ และในเวลานั้นฉันยังติดตั้ง Samba, NTP, ZFS และ python สิ่งต่าง ๆ ดูเหมือนจะใช้งานได้ดีดังนั้นฉันจึงปล่อยให้มันนั่งทำงานที่มุมห้องแล็บสองสามสัปดาห์ ประมาณสองสัปดาห์ที่ผ่านมาฉันได้รับอีเมลจากทีมไอทีแจ้งว่าเซิร์ฟเวอร์ของฉัน "ถูกโจมตี" และมีความเสี่ยงที่จะถูกใช้ในการขยาย NTP / การโจมตี DDoS (การโจมตีการขยาย NTP โดยใช้ CVE-2013-5211 ตามที่อธิบายไว้ในhttps: //www.us-cert.gov/ncas/alerts/TA14-013A ) สัญญาณที่ชี้ไปนั้นเป็นการรับส่งข้อมูล NTPv2 จำนวนมากบนพอร์ต 123 แปลกที่อยู่ IP ที่พวกเขาระบุว่าสิ่งนี้มาจาก ( …

16 debian  ip  network-interface  tcpdump  ntp 

หากผ่านหน้า man ของtcpdumpดูเหมือนว่าเคอร์เนลสามารถวางแพ็กเก็ตได้หากบัฟเฟอร์เต็ม ฉันสงสัยว่า: ขนาดนั้นสามารถกำหนดค่าได้และ / หรือ ฉันจะดูขนาดของ distro ของฉันได้ที่ไหน จากหน้าคน (สำหรับการอ้างอิงง่าย ๆ ): แพ็กเก็ต `` ดร็อปโดยเคอร์เนล '' (นี่คือจำนวนแพ็กเก็ตที่ถูกดร็อปเนื่องจากการขาดพื้นที่บัฟเฟอร์โดยกลไกการดักจับแพ็กเก็ตในระบบปฏิบัติการที่ tcpdump ทำงานอยู่หากระบบปฏิบัติการรายงานข้อมูลไปยังแอปพลิเคชัน มิฉะนั้นจะถูกรายงานเป็น 0)

16 kernel  networking  buffer  tcpdump 

ฉันต้องบันทึกรายการที่ส่งออกทั้งหมดAใน RedHat PC ฉันพยายามใช้tcpdump: tcpdumpdns=OUTPUT-FILENAME-HERE nohup tcpdump -K dst port 53 -w $tcpdumpdns > /dev/null 2>&1 & มันทำให้ไฟล์ที่ส่งออกเช่น: 19:26:12.185392 IP 172.16.0.6.57977 > google-public-dns-a.google.com.domain: 51198+ A? yahoo.com. (27) ดังนั้นฉันต้องดำเนินการเพื่อให้ได้รับyahoo.com: echo $tcpdumpdns | awk '/ A\? / {u = NF - 1; print $u}' | sed 's/^www.//g; s/.$//g' | sort -u มีวิธีใดที่ดีกว่าในการรวบรวมAคำขอบันทึกขาออกทั้งหมดหรือไม่ …

15 tcpdump 

ฉันต้องการติดตามกิจกรรมเครือข่ายของคำสั่งฉันลอง tcpdump และ strace ไม่สำเร็จ ตัวอย่างเช่นหากฉันกำลังติดตั้งแพคเกจหรือใช้คำสั่งใด ๆ ที่พยายามเข้าถึงบางไซต์ฉันต้องการดูกิจกรรมเครือข่ายนั้น (ไซต์ที่พยายามเข้าถึง) ฉันเดาว่าเราสามารถทำได้โดยใช้ tcpdump ฉันพยายาม แต่มันกำลังติดตามกิจกรรมเครือข่ายทั้งหมดของระบบของฉัน สมมติว่าถ้าฉันใช้คำสั่งที่เกี่ยวข้องกับเครือข่ายหลายเครือข่ายและฉันต้องการติดตามเฉพาะกิจกรรมเครือข่ายคำสั่งเฉพาะเวลานั้นยากที่จะหาคำตอบที่แน่นอน มีวิธีทำเช่นนั้นหรือไม่? UPDATE: ฉันไม่ต้องการติดตามทุกสิ่งที่เกิดขึ้นบนอินเทอร์เฟซเครือข่ายของฉัน ฉันต้องการติดตามคำสั่ง (สำหรับตัวอย่างกิจกรรมเครือข่าย #yum install -y vim) เช่นเว็บไซต์ที่พยายามเข้าถึง

14 linux  networking  tcpdump  strace  wireshark 

ฉันต้องการจับภาพทราฟฟิกบนอินเตอร์เฟสเสมือนของ Linux เพื่อการดีบัก ฉันได้รับการทดสอบด้วยveth, tunและdummyอินเตอร์เฟซประเภท; ในทั้งสามฉันมีปัญหาในการtcpdumpแสดงอะไร นี่คือวิธีการตั้งค่าส่วนต่อประสานแบบจำลอง: ip link add dummy10 type dummy ip addr add 99.99.99.1 dev dummy10 ip link set dummy10 up ในเทอร์มินัลหนึ่งดูด้วยtcpdump: tcpdump -i dummy10 ในหนึ่งวินาทีให้ฟังด้วยnc: nc -l 99.99.99.1 2048 ในหนึ่งในสามทำการร้องขอ HTTP ด้วยcurl: curl http://99.99.99.1:2048/ แม้ว่าใน terminal 2 เราสามารถดูข้อมูลจากการร้องขอการแสดงอะไรขึ้นมาจากcurltcpdump Tun / แตะกวดวิชาชี้แจงสถานการณ์บางอย่างที่เคอร์เนลอาจไม่ได้ส่งแพ็กเก็ตใด ๆ เมื่อมีการดำเนินงานเกี่ยวกับอินเตอร์เฟซท้องถิ่น: เมื่อดูที่ผลลัพธ์ของ tshark เราจะเห็น …

12 networking  kernel  ip  tcp  tcpdump 

ขณะที่ผมกำลังพยายามที่ไร้ผลที่จะแก้ไขข้อผิดพลาดของตัวควบคุมอีเธอร์เน็ตที่นี่สิ่งหนึ่งที่ผมพยายามวิ่ง tcpdump บนเครื่อง ฉันพบว่าน่าสนใจที่ tcpdump สามารถตรวจจับได้ว่าแพ็คเก็ต ICMP บางอันที่แอปพลิเคชัน ping คิดว่าการส่งไม่ได้ออกนอกสายจริงแม้ว่ามันจะทำงานบนเครื่องเดียวกันก็ตาม ฉันทำซ้ำผลลัพธ์ tcpdump เหล่านี้ที่นี่: 14:25:01.162331 IP debian.local > 74.125.224.80: ICMP echo request, id 2334, seq 1, length 64 14:25:02.168630 IP debian.local > 74.125.224.80: ICMP echo request, id 2334, seq 2, length 64 14:25:02.228192 IP 74.125.224.80 > debian.local: ICMP echo reply, id …

12 linux  networking  tcp  ethernet  tcpdump 

เรามีสคริปต์ที่เรียก tcpdump -v src host <IP address> and port <port number> >>out.txt 2>>err.txt -w capture.cap บนหลาย IP ในขณะที่ส่วนอื่น ๆ ของสคริปต์เริ่มต้นการรับส่งข้อมูลบางอย่างในพื้นหลัง เราต้องการตรวจสอบว่าแพ็คเก็ตกำลังกลับมาหาเราและตรวจสอบด้วยตนเองเฉพาะกรณีเหล่านั้นเมื่อเราได้รับแพ็คเกจ เอาต์พุตข้อผิดพลาดของ tcpdump ดูเหมือนดีสำหรับเรื่องนี้ในตอนแรก แต่ คำถามคือตามที่แนะนำเรื่องอะไรคือความแตกต่างระหว่าง "แพ็กเก็ตที่จับ" และ "แพ็กเก็ตที่ได้รับจากตัวกรอง" มีการจับซึ่งไม่ได้บันทึกแพ็กเก็ตใด ๆ แต่เอาท์พุท "จับแพ็คเก็ต 0, แพ็คเก็ตที่ได้รับจากตัวกรอง 2" ซึ่งฟังดูขัดแย้งกันเพราะถ้าไม่มีการจับแพ็คเก็ต ตอนแรกเรามองหา "0 แพ็กเก็ตที่ได้รับจากตัวกรอง" แต่นั่นไม่ใช่การเขียนไปยังเอาต์พุตข้อผิดพลาดเสมอเมื่อไม่มีแพ็กเก็ตที่ได้รับ ดังนั้นตัวเลขเหล่านี้แสดงอะไร ฉันจำเป็นต้องรู้ว่าจะค้นหาสิ่งใดถ้าเราต้องการกรองกรณีเหล่านั้นเมื่อไม่ได้รับแพ็กเก็ตตอบกลับ

11 ip  tcpdump 

ฉันกำลังพยายามดีบัก DHCP บนแล็ปท็อปของฉัน (ฉันกำลังใช้dhcpingและdhcdumpดูว่าเซิร์ฟเวอร์ DHCP ส่งอะไรกลับคืน) /etc/dhcp/dhclient.confต่อไปนี้เป็นของฉัน option rfc3442-classless-static-routes code 121 = array of unsigned integer 8; send host-name = gethostname(); request subnet-mask, broadcast-address, time-offset, routers, domain-name-servers, interface-mtu, rfc3442-classless-static-routes; rfc3442-classless-static-routesผมคิดว่าผมมีความคิดว่าตัวเลือกทั้งหมดเหล่านี้หมายถึงการยกเว้น นอกจากนี้ฉันไม่เห็นอะไรที่เกี่ยวข้องกับrfc3442-classless-static-routesการตอบกลับ DHCP อะไรคือความหมายrfc3442-classless-static-routesและในสถานการณ์ใดที่ฉันจะใช้ประโยชน์จากมัน ( เอกสารไม่สมเหตุสมผล)

10 networking  dhcp  tcpdump  isc-dhcpd 

ฉันมีชุดทดสอบที่เริ่มต้นเซิร์ฟเวอร์บน localhost แล้วรันการทดสอบหลายพันครั้งซึ่งรวมถึงการเริ่มต้นและหยุดไคลเอ็นต์ที่เชื่อมต่อกับเซิร์ฟเวอร์ในเครื่องนี้ในเครื่องเดียวกัน ฉันพยายามค้นหาสาเหตุของ RST ที่ลูกค้าส่งไปยังเซิร์ฟเวอร์ นี่คือลำดับเหตุการณ์: ไคลเอ็นต์เริ่มต้น SYN เซิร์ฟเวอร์ส่งกลับ SYN, ACK ไคลเอนต์ส่ง RST (แทน ACK และสร้างการเชื่อมต่อ) การสังเกตการณ์หนึ่งครั้งในหลาย ๆ ครั้งเซิร์ฟเวอร์ใช้ CPU ประมาณ 99 เปอร์เซ็นต์แม้ว่ามันจะกลับมาเป็นปกติในไม่กี่วินาที / นาที ตอนแรกฉันคิดว่าอาจเป็นเพราะลูกค้าใช้พอร์ตจากการเชื่อมต่อที่ปิดก่อนหน้านี้ซึ่งอยู่ในสถานะ TIME_WAIT และเมื่อเซิร์ฟเวอร์ส่ง SYN, ACK ในไคลเอ็นต์การเชื่อมต่อนั้นออก RST แม้ว่าฉันจะสงสัยว่าทำไมลูกค้าควรใช้พอร์ตในสถานะ TIME_WAIT แต่ฉันใช้ fedora core 4 แบบเก่าและคิดว่าอาจจะไม่ได้ใช้ TCP / IP :-) ตอนนี้ฉันไม่เชื่อว่าเป็นเหตุผลเพราะการปรับแต่งทั้งหมดที่ทำในการแก้ไขปัญหาข้างต้นไม่ได้ช่วยบรรเทาปัญหา FYI ต่อไปนี้เป็นการเปลี่ยนแปลงที่ฉันได้ลอง/etc/sysctl.conf: net.ipv4.ip_local_port_range = 1024 …

10 fedora  tcp  tcpdump  tcp-ip