問題タブ [tcpdump]

自分のマシンとリモート マシンで "同時に" tcpdump を取得するスクリプトを作成する必要があります。つまり、キャプチャの開始 (0 秒目) は同時である必要があるため、分析で 2 つの tcpdump を比較できます。

これを達成する方法はありますか？

話は長くなりますが、私は内部 Web サイトを保存しようとしています。彼らはもはや価値を見出しておらず、将来的にスイッチを切り替えることになるとんがり髪の上司から逃れようとしています。含まれている情報は重要であり、将来の世代がそれを使用したいと思う. いいえ、アダルトサイトではありませんが、大企業なのでこれ以上は言えません。

問題は、サイトが IE7 でしか動作しない ASP と Flash の混乱であり、IE8 と 32 ビットのみでさえバグがあることです。すべての URL はセッション スタイルであり、意味不明です。フラッシュ オブジェクト自体は、ASP オブジェクトへの GET 要求で追加情報を取得します。スクレイピング用に設計されているのは本当に貧弱です。:)

したがって、私の考えは、サイト全体をナビゲートするときに tcpdump を実行することです。次に、何らかの方法ですべての GET の結果を SQL データベースにダンプします。次に、ホスト ファイルを少しいじって、すべての要求を cgi スクリプトにリダイレクトします。このスクリプトは、データベースで一致する get 要求を探してデータを返します。そのため、サイト全体が URL/データ キーペアの SQL データベースに配置されます。フラットファイルも機能する場合があります。

理論的には、これが唯一の方法だと思います。私が目にする唯一の問題は、毎回異なるセッション URL を生成するクライアント側の ActiveX/Flash を実行する場合です。

とにかく、私は Perl を知っており、適切なモジュールを使用すればアイデアは単純に思えるので、ほとんどの作業は Perl で行うことができると思いますが、始める前に他のアイデアを受け入れます。多分これはすでに存在しますか？

ご意見ありがとうございます。

openwrtで実行されるtcpdumpバイナリを探しています。Webサイトには、ビルドする必要のあるソースコードのみが表示されます。誰かがプレビルドバイナリを含む場所を教えてくれますか？ありがとう。

全て：

私は MTU 設定に慣れていないので、TCP/UDP で見られる断片化をどのように処理すればよいか疑問に思っています (Android アプリケーションを介してセルラー ネットワーク経由でパケットを送信しています)。

Android デバイスからサーバーに多数のパケット フラグメンテーションが送信されています。このトピックに関する詳細情報を入手したいと思います。

1. MTU とは何ですか?
2. パケットの断片化を確認または確認するために使用できるツール (Wireshark、tcpdump など) は?
3. Android デバイスから ping/traceroute などの標準ツールを使用するにはどうすればよいですか (これは便利ですか)?

前もって感謝します

Android デバイスで特定のアプリケーションのネットワーク アクティビティを監視しようとしています。監視しようとしているアプリケーションで、リモートで実行されている HTTP サーバーと通信しています。サーバーにクエリを実行するには明らかにさまざまな方法があり、これらのさまざまな種類のクエリ (パケットの往復時間など) に関する統計を収集しようとしています。

いくつかの調査の後、tcpdump を試してみることにしました。-A オプションを使用してパケットの内容を表示しようとしています。パケットの内容を吐き出した後、パケット本体からクエリの種類を解析し、種類に従って並べ替えることができると考えました。ただし、 -A​​ オプションを使用すると、大量のゴミが発生するようです。-A オプションが実際に行うことを誤解していますか? http://code.google.com/apis/gdata/articles/wireshark.htmlのこの例によると、人間が読める形式の出力が表示されるはずです。

いくつかの調査の結果、吐き出されるゴミは圧縮されたデータである可能性があることがわかりました。この場合、解凍は可能でしょうか？

私が素朴に聞こえる場合は、ご容赦ください。私はこのようなことに比較的慣れていません。どんな助けでも大歓迎です。ありがとう！

tcpdump で収集した大きな pcap (パケット キャプチャ) ファイルがいくつかあります。特定の文字列を含むパケットを除外したいと考えています。出力を引き続き pcap 形式にしたい。pcap ファイルから正規表現に一致するパケットのみを表示する方法をいくつか見つけましたが、必要なのは、パケットの表示 (stdout など) を除外するのではなく、そのようなファイルをフィルター処理することです。出力は、一致したパケットが削除された pcap ファイルである必要があります。

dpkt (Python モジュール) が役立つのではないかと思いますが、可能であれば、既存の (C/C++) ツールを使用してこれを行うことをお勧めします。私は答えとしてコードを受け入れます（おそらく、ベンチマークを使用した良いdpktの例は、私にもそのように進むよう説得するでしょう;-)）。

前もって感謝します！

答え：

Nim の回答によると、Wireshark/tshark を介してこれを行うことができます。他の人の参考のために、コマンドラインの例を示します。ここでは、udp パケット内の文字列の一致をチェックします (この例は、tcp または特定のプロトコル フィールド検索を行うために構築できます)。

再度、感謝します！

受信しているパケットのイーサタイプを識別しようとしています。Ether Type IDは608であり、Ethertype.h（libpcap 1.2.1）に対応する定義がありません。受信したパケットの大部分はいずれかのタイプの8であり、Ethertype.hには対応する定義がありません。誰かがこの背後にある原因について何か考えを持っていますか、またはエラーレポートでTCPDumpに連絡する必要がありますか？

パケットの長さに基づいて tcpdump 出力をフィルタリングしようとしています。しかし、私には運がありませんでした。

これはコマンドの単純な出力です。

tcpdump -n -i eth0 dst ポート 443 -A

長さが 100 バイトを超えるパッケージのみを表示したい。この場合、3 番目のパケットのみです。

オプション [いいえ、いいえ、TS val 7028787 ecr 974439509]、長さ 171

tcpdump の man ページを調べましたが、有用なパラメーターが見つかりませんでした。ここで言及されている「より長い」という表現があります。http://www.ethereal.com/docs/man-pages/tcpdump.8.htmlしかし、私もその式を使用できませんでした。

助けてくれてありがとう。

新しいRedhat Enterprise Linux 6 サーバーでマルチキャスト データを受信するアプリケーションを作成しています。サポート チームは、サーバーがマルチキャスト データ フローを取得できるかどうかをテストするためのアプリケーションを提供してくれました。

テスト アプリケーションを起動し、tcpdump を実行すると、マルチキャスト データが入ってくるのがわかります。

しかし、アプリケーションはデータ フローを取得できません。つまり、アプリケーションは、マルチキャスト データ サブスクリプションが失敗したかのように実行されます。

サポート チームは、他のサーバーで問題なく動作しているため、テスト アプリケーションに問題がないことを保証します。新しいサーバーを使用しているため、サーバーの設定が正しくない可能性があります。

tcpdump がデータを表示できる場合でも、マルチキャスト データの受信をアプリケーションが停止する可能性がある Linux の設定を探す必要があるかどうか疑問に思っています。ライブラリやパッケージがありませんか?

ありがとう。

Perl を使用して、サーバーから最初に受信するパケットのサイズを取得するにはどうすればよいでしょうか。NET::PCAP のさまざまな例からダウンロードした簡単なコードがあります。しかし、最初のパケットのサイズを取得する方法がわかりません。

どんな助け、または良いリンクも大歓迎です。

ありがとう、