Дамп rawdata для хоста на прокси с помощью tcpdump
Я наконец сделал бок о бок установка Office 2007 сверху 2003. До сих пор не было никаких значительных проблем.
Но существует эта проблема, которая начала добираться под моей кожей.
Каждый раз, когда я открываюсь, одна версия Word/Excel/PP/и т.д. (скажите, что открытые версии 2007 года), и затем пытается открыть версию 2003 года, мне почти всегда предлагают с этим сообщением, которые инициализируют офисное приложение, впервые используют.
Процесс занимает приблизительно 2~3 минуты, и я начал использовать только 2007, если я не должен использовать 2003.
Но все остальное, кажется, хорошо работает до сих пор.
У Вас может быть проблема с различными интерфейсами. По умолчанию tcpdump только слушает на первом интерфейсе Ethernet, который он находит. Если Вы добавите "-i кого-либо то", это послушает в каждом интерфейсе.
Как кто-то уже упомянул, Вы закончите тем, что получили весь трафик к конкретному IP-адресу, независимо от названия DNS, которое Вы хотите. Можно уменьшить объем данных, который Вы получаете путем ограничения фильтра далее. Вы могли добавить порт и указать конкретный удаленный хост или сеть.
# tcpdump host 12.34.56.78 and port 80 and net 78.65.43.21/24
Можно найти, что tcpflow более полезен для Вас. Это выведет каждую сторону соединения TCP в отдельный файл. Можно или использовать его с тем же фильтром, который Вы использовали бы с tcpdump, или можно загрузить pcap файл в. Чтобы сохранить pcap файл, работайте:
# tcpdump -s 0 -w /tmp/dump.pcap -i any host 12.34.56.78 and port 80
Я собираюсь попытаться сказать что сказанный LapTop006, но немного по-другому.
При выполнении той команды my.very.specific.host.com хоста tcpdump-c10 tcpdump разрешает "my.very.specific.host.com" к IP-адресу и фильтрует для трафика к тому IP. Если DNS возвращает несколько IP-адресов для "my.very.specific.host.com", tcpdump просто собирается взять первый возвращенный IP и фильтр для того IP.
Если существуют только некоторые, дюйм/с возвратился для ""my.very.specific.host.com", Вы могли бы сделать:
tcpdump -c10 host 1.2.3.4 or host 2.3.4.5 or host 3.4.5.6
Было бы легче получить трафик между клиентом и прокси, а не между удаленным веб-сервером и прокси, так как у клиента только есть один IP-адрес. (Я предполагаю, является ли то, что Вы пытаетесь видеть, взаимодействием beteen удаленный веб-сервер и прокси, тем не менее, необходимо было бы получить это. Ваше сообщение не дает мне достаточно для продолжения...),
-
1Кроме того, к возврату нескольких RRs, это могло бы возвратить совершенно другой IP, чем инициирующий клиент использует, из-за представлений DNS или файлов хоста. – Dan Carley 26 June 2009 в 14:55
-
2You' ре совершенно верно, хотя, если инициирующий клиент использует этого Прокси HTTP затем, обычно, инициирующий клиент won' t сделать любое определение имен для самого целевого сервера. (Я предполагаю, что это могло быть прозрачным прокси, и клиент мог делать определение имен... Недостаточно информации для высказывания...) – Evan Anderson 26 June 2009 в 15:10
Я попробовал бы (внутренний) IP-адрес как аргумент в пользу HOST.
между прочим вот учебный http://linux.byexamples.com/archives/283/simple-usage-of-tcpdump/ и шпаргалка (PDF) со всеми опциями.
-
1Это - хорошее учебное руководство для tcpdump-макетов, как я :) – Carl Bergquist 26 June 2009 в 14:47
tcpdump всегда работает на уровне IP, даже если Вы даете ему имя DNS, он просто разрешает его к IP
Вы могли использовать адрес клиента в качестве хоста для рассмотрения.
Следующий шаг должен начать получать полные пакеты в "pcap" файл, который wireshark может открыть для полного анализа.
-
1Клиент является мобильным телефоном позади прокси, так В этом случае это, привычка действительно сужает его. Попытка Иллинойса wireshark идея. – Carl Bergquist 26 June 2009 в 14:46
В дополнение к тому, что другие сказали - IP использования, исправьте интерфейс, дамп к pcap.
Я советовал бы Вам избавляться от -c10 флаг. Это сообщает tcpdump для выхода после получения точно, 10 пакетов и это не могут быть достаточными для того, что Вы хотите видеть.
Вы хотите выполнить tcpdump на машине, служащей веб-страницам. Не используйте адрес узла; Вы будете получать трафик только к тому хосту так или иначе. Вы хотите получить в файл все на порте 80, и Вы хотите удостовериться, что Вы собираете все данные, не усекая его. Команда, которую Вы хотите:
sudo tcpdump -w log.pcap -s 65535 port 80
Если Ваша машина имеет несколько интерфейсов Ethernet, Вам, возможно, придется указать тот для использования для получения трафика. Если Вы не получаете трафика, использовать ifconfig -a для наблюдения списка интерфейсов и их адресов, выбрал соответствующий, и добавьте -i eth1 (или безотносительно интерфейса) опции к командной строке.
После того как у Вас есть pcap файл, необходимо проанализировать его. Для интерактивного использования Wireshark является превосходным инструментом. Скопируйте pcap файл в свою рабочую станцию и работайте wireshark -r log.pcap. Можно использовать фильтры для нахождения пакетов, которые имеют "Хост: some.server.of.interest.com" заголовки; это - те для виртуального хоста интереса. Проанализируйте / Следуют, Поток TCP покажет Вам весь разговор HTTP в очень читаемом формате.
Если Вы хотите сделать автоматизированный анализ, необходимо будет, вероятно, записать некоторый пользовательский код. Одна опция состояла бы в том, чтобы использовать инструмент, такой как tcpflow, чтобы вывести все Сеансы HTTP в файлы и затем использовать язык сценариев (или даже grep), чтобы выбрать файлы интереса и проанализировать их. Также не трудно считать pcap файлы непосредственно, но выполнение повторной сборки переговоров TCP является намного большим количеством работы.