Як зареєструвати обраний пакет tcp


0

Виправлено неполадки, коли довга транзакція TCP (& gt; = 60s) роз'єдналася між моїм джерелом (Point A) і призначенням (Point B), у той час як проходить через внутрішній шлюз Linux та кілька інших маршрутизаторів / комутаторів CISCO

Щоб дослідити проблему далі, мені потрібно ввімкнути протоколювання TCP і полегшити аналіз кореневих причин. Тим не менш, я маю дуже низький дисковий простір і не міг виконати цю реєстрацію до тих пір, як хотів би. Тому, я хотів би знати, чи є спосіб увімкнути протоколювання TCP тільки для обраних пакетів TCP? Мені потрібно ввімкнути реєстрацію як на шлюзі, так і на проміжних мережевих пристроях між ними.

Зокрема, я досліджую, чи отримала точка A пакет FIN з точки B або з будь-яких інших пристроїв між ними, що призвело до вищезгаданого відключення, коли транзакція займає більше 60 років.


Я думаю, що це належить SuperUser. anyways я би запропонував прочитати "man tcpdump"

tcpdump або wireshark, якщо ви віддаєте перевагу графічному інтерфейсу в інструменті командного рядка.

Відповіді:


1

tcpdump Ваш друг. Від pcap-фільтр man page :

Для вибору початкового і кінцевого пакетів (SYN і FIN пакетів) з   кожну бесіду TCP, до якої входить не локальний хост.

tcp [tcpflags] & amp; (tcp-syn | tcp-fin)! = 0, а не src і dst net localnet

Тому, tcpdump -ieth0 filter_expression Ви повинні дати вам те, що вам потрібно. Можна додати такі речі and host a.b.c.d and port efg ще більше обмежити захоплення. Ви повинні мати можливість використовувати той самий вираз фільтра WireShark якщо ви віддаєте перевагу програмі з графічним інтерфейсом.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.