我有一个温度监控AP设备,连接到收集所有数据的服务器。 AP将不会连接到服务器,除非我有从服务器到AP的持续ping。 如果我从PC连续ping到AP,它仍然不连接服务器,所以AP不会进入睡眠状态。 所有防火墙closures。 他们在同一个vlan。 尝试了我们的思科交换机上的不同端口。 您可以为AP设置的是IP信息:IP:10.200.48.49networking掩码:255.255.240.0网关:10.200.48.1 服务器:IP:10.200.63.19networking掩码:255.255.240.0网关:10.200.48.1 我试过wireshark,没有不断的ping来查看stream量在哪里。 服务器能够向AP发送一个数据包,但是当AP发送出去的数据只能到10.200.63.255,广播? 有Cisco交换机和我们的networkingpipe理员说,他找不到交换机编程或路由表中的任何东西。
在Splunk(来自防火墙)中显示从一个服务器到非现有专用(RFC1918)networking中的非现有主机的阻塞连接尝试。 然后,我在该服务器上启动procmon,将该连接尝试与进程关联起来。 我怀疑这与我们的备份软件代理有关。 连接尝试在10分钟后像以前一样出现在splunk中,但是它并没有出现在procmon中。 然后,我开始在那台服务器上使用wireshark,10分钟后,我可以通过服务器上的wireshark捕获这个stream量。 这有点奇怪。 这似乎不是恶意软件的行为。 C2服务器将位于互联网上,而不是在专用networking中,当我启动wireshark或procmon时,通信不会停止。 但是它的奇怪呢。 有人能为此提出一个合理的解释吗? 这不是一个虚拟主机顺便说一句。
我试图了解在vlan中的通用模式端口上下文中出口标签的规则。 我有一台联网的Thelesis AT-8000S交换机,连接了两台PC(PC1 < – > e1,PC2 < – > e2)。 两台电脑都安装了wireshark,网卡设置为vlan信息未被删除的模式。 有一个vlan creadted(id = 100),并添加到这些端口。 两个端口都处于通用模式 , PVID设置为100, 入口过滤打开,但可接受的帧types设置为admitAll 。 当我将出口规则设置为untagged时,两台PC可以相互通讯(ping)。 当我将e1的出口规则设置为标记时 ,我可以从PC2发送ICMP(ping)到PC1(我在PC1上发送带有802.1Q VLan信息的ICMP帧),但是没有响应。 我已经阅读了Allied Thelesis的虚拟局域网文章,也是AT-8000S的CLI用户指南和“谷歌search结果”。 根据我的理解,当你设置出口规则(“外出规则”)为一般模式端口标记时,交换机不应该从一帧中去除vlan信息,这就是为什么我看到这个信息whisthark。 PC1应该用ICMP响应。 当然,响应帧是无标记的,所以交换机应该根据e2上的PVID值(100)来发送这个帧。 e2的出口规则是无标记的,所以PC2应该在没有任何vlan信息的情况下接收响应帧。 我的问题是为什么它不工作,我错过了什么? 我知道,这不是一个真实的例子,通常PC应该连接到访问模式接口(它像一个魅力),但我想有能力嗅探vlan信息之一的porst。 最好的问候,亚历山大
我的系统运行Ubuntu 17.04,我的networking拓扑是: 我有eth1configuration了多个IP地址: $ ip addr show eth1 4: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:80:c8:3d:19:94 brd ff:ff:ff:ff:ff:ff inet 169.254.123.52/16 brd 169.254.255.255 scope link eth1 valid_lft forever preferred_lft forever inet 192.168.55.1/24 brd 192.168.55.255 scope global eth1 valid_lft forever preferred_lft forever inet 192.168.10.10/24 brd 192.168.10.255 scope global eth1 valid_lft […]
尝试使用Wireshark过滤数据包。 为什么在放置filter tcp contains M-SEARCH时找不到任何东西。 第三行我有这样的价值。
我最近遇到了一个场景(在一个商业环境中),我不得不在一个pcapng文件中更改一些源和目的ip。 我通过使用如下tcprewrite解决了这个问题: 假设我想将源和目标IP从192.168.0.0更改为192.168.0.5 tcprewrite –pnat=192.168.0.0:192.168.0.5 –infile=myfile.pcapng –outfile=myNewFile.pcapng 这工作完全按照我想要的,除了文件现在缺less接口描述块。 有没有办法阻止这种情况的发生,或者将数据添加回来? 另一个可以接受的答案是提供一个不同的方式来改变IP的,而不使用tcprewrite。
我在本地运行一个使用SSL的网站。 我有一个像这样的关键: —–BEGIN RSA PRIVATE KEY—– MIIEpAIBAAKCAQEAtfraR2 … 和这样的证书: —–BEGIN CERTIFICATE—– MIIDYDCCAkigAwIBAgIJANyD … 两者都是用这个命令生成的: openssl req -x509 -nodes -newkey rsa:1024 -keyout testkey.pem -out testcert.pem 我去网站并接受证书。 在wireshark中,在“协议”,“SSL”和“RSA密钥列表”下,我添encryption钥,如下所示: 192.168.1.132 443 http /path/to/key 为什么我的本地站点的httpsstream量仍然在Wireshark中encryption? 然而,我可以使用铬浏览器解密, export SSLKEYLOGFILE='/root/ssl.log'和Wireshark的“(Pre)-Master-Secret日志文件”到“/root/ssl.log”。 我想直接在Wireshark / Protocols / SSL / RSA密钥列表下使用密钥进行解密。 以下是我在Wireshark SSLdebugging文件中得到的内容: Wireshark SSL debug log Wireshark version: 2.4.1 (Git Rev Unknown from unknown) […]
环境, Web服务器 – Server 2012 R2,IIS 8,ASP.NET应用程序 防火墙思科5515 未pipe理的惠普交换机,没有vlaning 客户一直使用Curl从外面打我们的应用程序。 没有人应该使用服务器。 使用wireshark我可以看到,如果我启用了TLS 1.2,每次他们碰到服务器的最后都有一个RST 如果我禁用TLS 1.2没有数据包RST和一切看起来不错。 什么可能导致这个? 请让我知道,如果你需要了解更多的信息。
在我们局域网的TCP握手过程中,我正在有一个严重的延迟。 我没有解释为什么会出现这种情况,总共导致了大约20秒的加载时间。 如果你有任何提示或解释,我会很感激。 你find一个附件的截图。 在这里input图像描述 编辑: 首先,感谢您的build议。 我试图澄清我们的configuration及其组件:当我打开URL到指定的端口,wireshark日志显示目标IP 10.2.4.147,而我试图连接到10.0.0.10 [A],这将redirect到10.0 .1.10 [B](OAuth机制)。 每个服务器都运行一个安装有通配符证书的IIS服务器,中间证书存储在Microsoft本地存储(mmc)中。 注意:tcp重新传输的现象发生在我尝试的每个客户端(以及多个浏览器)上。 因此,10.2.4.147似乎是我们局域网中的networking设备(我还没有在该设备上安装证书,我甚至不知道我们局域网中的哪个服务器(+防火墙?))。 你需要备份configuration文件的IISconfiguration(applicationHost.config等?) 如您所说,是否有可能10.2.4.147服务器validationInternet / LAN中的证书链? 为什么我在wireshark日志中看不到服务器[A]或[B]? 还有什么我可以做/分析? ps:我更新了屏幕截图以查看TCP握手。
我正在寻找一种方法,通过数据包分析尽可能多地识别ISPnetworking上的消费VoIP用户。 我的设置是这样的: 在我的核心交换机上,进出千兆位1的所有stream量都跨越到千兆位2,在那里我连接了一台Linux服务器。 这是我一直在尝试的: 我跑tshark看我的networking和标准的SIP端口过滤。 就像是: tshark -i eth0 -f "(net 1.2.3.4/24 or net 4.5.6.7/24) and (port 5060 or port 5061)" -w ./outfile 运行了一个多星期,然后通过输出文件search唯一的IP列表。 我以这种方式看到了一些SIP用户,但几乎没有我应该做的那么多。 这种方法有什么问题吗? 据我了解,大多数主要的消费者VoIP产品,如Vonage,都使用SIP来进行信号传输。 我想要什么(我想): 我想实际分类协议,寻找SIP,RTP等。如果我安装L7filter,我可以使用iptables来标记我感兴趣的stream量,但我不知道我会从那里去得到一个独特的清单IP地址。 我接受任何build议。