问题[wireshark](server)

我正在使用 Wireshark 跟踪从我的手机发送到 LAN 中的两台计算机的 WoL 数据包。

我的电脑上打开了 Wireshark，并且我在 Teamviewer 上观察另一台电脑，其中打开了 Wireshark，两个窗口并排显示，实时进行测试。

我发现了模棱两可的区别。

当魔包被发送到 WAN 地址时 - Wireshark 仅显示与其所针对的计算机匹配的 WoL 数据包。

当发送到计算机的内部 IP 地址时：

PC 1 - PC 2 跟踪较少的数据包，并且所有数据包都以广播地址作为目的地。

对于 PC 2 - 每个设备中的数据包数量相同，但在 PC 1 中显示所有数据包都以广播地址作为目的地。

为什么会有这些差异和差异？Wireshark 不应该客观地显示互联网流量吗？

我尝试实时测试局域网中的计算机上的 Wireshark，并希望它们显示完全相同的数据包。

在“ wireshark ”网络时，您可能会遇到看起来像 THIS eth.src的数据包eth.dst（主要是白色）。有时Wireshark识别协议LLC、NDP等。但有时它只是0x000或0x0de。所以你知道发件人的MAC地址，但不知道IP地址。

我的问题是 1：如何将它的 MAC 地址链接到某个 IP？在我的脑海中只是nmap -sn所有子网然后文本搜索MAC......但也许有更聪明的方法或工具。我尝试使用arping，但似乎不是为了这个目的。问题 2：让我们假设一个帧来自另一个子网或 VLAN（有可能吗？可能在一个配置错误的网络中？如果不是为什么？） - 我们还有机会与设备协商并以某种方式发现它的 IP 吗？

谢谢你。

我正在寻找一种方法来过滤wireshark中的数据包捕获，以应对我们的服务器以“拒绝”响应递归DNS查询的情况。

dns.resp.type==似乎没有提供任何我认为与我的要求相匹配的东西，我是否需要完全看下其他地方dns.resp？

当我执行 NSLOOKUP -q=a chinaa.cn 时，我在 WireShark 中得到以下结果：

为什么它在发送 A 请求之前首先查找我的 ISP DNS 的 PTR？
为什么 DNS 服务器首先以 No such name 和 .home-appended 响应？

我有接入点，它连接到 VPN，并在任何地方创建我们公司的内部 WiFi 网络。现在我需要检查这个 AP 使用的 VPN 协议。我无法配置它，所以我需要从 AP 发送到外部的数据包中检查它。我想在这个 AP 上运行类似wireshark 的东西并观察传出流量，但这并不容易，我不知道该怎么做。我正在考虑类似的事情 - 我可以将我的 PC 连接到这个 AP 的 WAN 端口，也许我可以在 PC 上运行 wireshark，我会看到，什么 AP 试图发送到我们的 VPN 服务器？这种方法是否正确，或者我需要做一些不同的事情？

我们的服务器遭到入侵，我们想知道哪些帐户从我们的服务器发送了恶意查询。我用 tcpdump 来得到这个：

 our.host.net.48194 > box5596.bluehost.com.http: Flags [P.], cksum 0x0bf8 (incorrect -> 0x5061), seq 0:741, ack 1, win 229, options [nop,nop,TS val 260555861 ecr 3817788688], length 741: HTTP, length: 741
    POST /xmlrpc.php HTTP/1.1
    Host: www.devynamaya.com
    User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
    Content-Length: 484
    Content-Type: application/x-www-form-urlencoded
    Accept-Encoding: gzip
    Connection: close
    
    <?xml version="1.0"?><methodCall><methodName>system.multicall</methodName><params><param><value><array><data><value><struct><member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member><member><name>params</name><value><array><data><value><array><data><value><string>admin</string></value><value><string>password123</string></value></data></array></value></data></array></value></member></struct></value></data></array></value></param></params></methodCall>[!http]

另一方面，我安装了不同的其他工具，例如，，clamav...等。对于 tcpdump 数据包，我使用.chrootkitrkhunterwireshark

问题是我似乎找不到发送该数据包的用户，因此我可以暂停他们的 cpanel 帐户。

是否有任何工具可以帮助跟踪被入侵的帐户？我们在这台服务器上有数百名用户，这就像大海捞针。

如果我不知道哪个客户端的网站受到攻击，那么分析数据包将毫无用处。

谢谢 ！

我想将接口上的所有传入流量重新路由ens4f0到 IP 地址 192.168.50.10，但 Wireshark 显示传入数据包的目标 IP 地址未更改。这是预期的行为吗？我以为 PREROUTING 先于其他任何东西进入？

我的iptables命令是：

# iptables -t nat -A PREROUTING -i ens4f0 -j DNAT --to 192.168.50.10
# iptables -t nat -vL
Chain PREROUTING (policy ACCEPT 24618 packets, 1923K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       all  --  ens4f0 any     anywhere             anywhere             to:192.168.50.8
    0     0 DNAT       all  --  ens4f0 any     anywhere             anywhere             to:192.168.50.10
    0     0 DNAT       all  --  ens4f0 any     anywhere             anywhere             to:192.168.50.10

我知道传入的数据包来自 192.168.50.8，所以我也尝试过：

# iptables -t nat -A PREROUTING -i ens4f0 -j DNAT -s 192.168.50.8/32 --to 192.168.50.10
# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       all  --  anywhere             anywhere             to:192.168.50.8
DNAT       all  --  anywhere             anywhere             to:192.168.50.10
DNAT       all  --  anywhere             anywhere             to:192.168.50.10
DNAT       all  --  192.168.50.8         anywhere             to:192.168.50.10

使用 (traceroute -q 1 serverAddress) 时，我们知道它从 TTL(Time to Live) = 1 开始。当它通过路由器时，路由器将 TTL 减 1。如果该路由器的 TTL 变为 0，它会发回 ICMP错误 TTL 超出消息。现在，告诉我，路由器会将错误消息发送回客户端（意味着我/我们）。现在路由器如何知道要设置什么 TTL。当我使用wireshark时，我收到了接收ICMP错误消息，显示初始TTL = 5的udp数据包的TTL = 64。路由器如何设置TTL？

我正在设置一些新的交换机和 VLAN，但我在使用我们预先存在的 Asterisk VoIP 设置时遇到了麻烦。

大多数电话工作正常。有些只是单向音频。我试图将其缩小到这个特定的测试情况：

Asterisk 服务器是 10.0.10.10。

调用正常：

如果电话 10.0.2.183 呼叫 10.0.10.47 上的电话，则音频双向流动良好。此 Wireshark 图中描述了此工作调用：

仅获得单向音频的呼叫：

如果相反，我交换情况并从另一部电话启动，即电话 10.0.10.47 呼叫 10.0.2.183 上的电话，音频仅单向流动：10.0.2.183 听不到 10.0.10.47。此 Wireshark 图中描述了此错误调用：

NAT？

我在网上看到很多东西表明单向音频的典型原因是 NAT。我不认为我正在使用 NAT。我该如何检查？这都是我局域网内部的。

防火墙？

我花了很多时间修补 10.0.10.10 上的iptables防火墙，打开所有东西（即使只是暂时的，作为测试）。我不明白它是如何阻止这一特定流量的，同时又让这么多流量通过。但我谦虚地认为iptables是我无法完全驯服的野兽。这里有什么想法吗？

路由？

我还怀疑可能存在路由问题，因为我正在移动服务器并将 VLAN 彼此隔离（VoIP VLAN 除外，它是 10.0.10.*，并且应该可供所有其他 VLAN 访问）。我不得不使用 10.0.10.10 上的路由表来让一些流量按照我想要的方式进行：

:/home1/_locals/operator# ip route
(1) 192.168.1.248/29 dev eth1  proto kernel  scope link  src 192.168.1.250
(2) 10.0.0.0/24 dev eth0  proto kernel  scope link  src 10.0.0.1
(3) 10.0.1.0/24 dev eth3  proto kernel  scope link  src 10.0.1.1
(4) 10.0.10.0/24 dev eth2  proto kernel  scope link  src 10.0.10.10
(5) 10.0.0.0/8 via 10.0.10.1 dev eth2
(6) default via 192.168.1.254 dev eth1

我已经对规则进行了编号，因此您可以根据需要对其进行评论。

有关如何解决此问题的任何想法？为什么除了一些非常特定的 RTP 流量之外，一切都在进行？提前感谢您的帮助。

额外要求的信息

10.0.10.0/24 网络中的 DHCP 配置：

这应该在电话上提供直接的路由表，只有 10.0.10.10 具有静态 IP 和上面提供的更改后的路由表。

简化的网络拓扑：

实际上，这更时髦，我在两种拓扑之间移动的一半。例如，我有两个 10.0.0.0 子网。但据说它们是分开的。我的问题可能源于这种时髦，但我需要准确指出缺少哪些配置才能使其正常工作。

10.0.10.1 上的路由表，即 Ubiquiti UDM

# ip route
10.0.0.0/24 dev br3 proto kernel scope link src 10.0.0.1
10.0.1.0/24 dev br5 proto kernel scope link src 10.0.1.1
10.0.2.0/24 dev br6 proto kernel scope link src 10.0.2.1
10.0.3.0/24 dev br4 proto kernel scope link src 10.0.3.1
10.0.10.0/24 dev br8 proto kernel scope link src 10.0.10.1
10.1.1.0/24 dev br0 proto kernel scope link src 10.1.1.1
10.2.2.0/24 dev br2 proto kernel scope link src 10.2.2.1
192.168.1.0/24 dev eth4 proto kernel scope link src 192.168.1.86

同一主机上的防火墙：

# iptables-save
# Generated by iptables-save v1.6.1 on Fri May  7 22:04:20 2021
*nat
:PREROUTING ACCEPT [30400:5954281]
:INPUT ACCEPT [9407:875595]
:OUTPUT ACCEPT [31671:2057109]
:POSTROUTING ACCEPT [25363:1582041]
:UBIOS_INPUT_JUMP - [0:0]
:UBIOS_OUTPUT_JUMP - [0:0]
:UBIOS_POSTROUTING_JUMP - [0:0]
:UBIOS_POSTROUTING_USER_HOOK - [0:0]
:UBIOS_PREROUTING_JUMP - [0:0]
-A PREROUTING -j LOG --log-prefix "::PREROUTING:"
-A PREROUTING -j UBIOS_PREROUTING_JUMP
-A INPUT -j LOG --log-prefix "::INPUT:"
-A INPUT -j UBIOS_INPUT_JUMP
-A OUTPUT -j LOG --log-prefix "::OUTPUT:"
-A OUTPUT -j UBIOS_OUTPUT_JUMP
-A POSTROUTING -j LOG --log-prefix "::POSTROUTING:"
-A POSTROUTING -j UBIOS_POSTROUTING_JUMP
-A UBIOS_POSTROUTING_JUMP -j UBIOS_POSTROUTING_USER_HOOK
-A UBIOS_POSTROUTING_USER_HOOK -o eth4 -m comment --comment 00000001095216660481 -j MASQUERADE
COMMIT
# Completed on Fri May  7 22:04:20 2021
# Generated by iptables-save v1.6.1 on Fri May  7 22:04:20 2021
*mangle
:PREROUTING ACCEPT [5740653266:1557524250007]
:INPUT ACCEPT [5729417629:1548285462113]
:FORWARD ACCEPT [11076849:9225341544]
:OUTPUT ACCEPT [5729656413:1548109771107]
:POSTROUTING ACCEPT [5741373562:1557359586630]
:UBIOS_FORWARD_JUMP - [0:0]
:UBIOS_FORWARD_TCPMSS - [0:0]
:UBIOS_FORWARD_USER_HOOK - [0:0]
:UBIOS_INPUT_JUMP - [0:0]
:UBIOS_INPUT_USER_HOOK - [0:0]
:UBIOS_OUTPUT_JUMP - [0:0]
:UBIOS_OUTPUT_USER_HOOK - [0:0]
:UBIOS_POSTROUTING_JUMP - [0:0]
:UBIOS_POSTROUTING_SHAPER - [0:0]
:UBIOS_POSTROUTING_USER_HOOK - [0:0]
:UBIOS_PREROUTING_JUMP - [0:0]
:UBIOS_PREROUTING_USER_HOOK - [0:0]
-A PREROUTING -j UBIOS_PREROUTING_JUMP
-A INPUT -j UBIOS_INPUT_JUMP
-A FORWARD -j UBIOS_FORWARD_JUMP
-A OUTPUT -j UBIOS_OUTPUT_JUMP
-A POSTROUTING -j UBIOS_POSTROUTING_JUMP
-A UBIOS_FORWARD_JUMP -j UBIOS_FORWARD_TCPMSS
-A UBIOS_POSTROUTING_JUMP -j UBIOS_POSTROUTING_SHAPER
COMMIT
# Completed on Fri May  7 22:04:20 2021
# Generated by iptables-save v1.6.1 on Fri May  7 22:04:20 2021
*filter
:INPUT ACCEPT [3169950958:856215960609]
:FORWARD ACCEPT [4175578:2973708433]
:OUTPUT ACCEPT [3170232928:856108555985]
:UBIOS_FORWARD_IN_USER - [0:0]
:UBIOS_FORWARD_JUMP - [0:0]
:UBIOS_FORWARD_OUT_USER - [0:0]
:UBIOS_FORWARD_USER_HOOK - [0:0]
:UBIOS_INPUT_JUMP - [0:0]
:UBIOS_INPUT_USER_HOOK - [0:0]
:UBIOS_IN_GEOIP - [0:0]
:UBIOS_LAN_IN_USER - [0:0]
:UBIOS_LAN_LOCAL_USER - [0:0]
:UBIOS_LAN_OUT_USER - [0:0]
:UBIOS_OUTPUT_JUMP - [0:0]
:UBIOS_OUTPUT_USER_HOOK - [0:0]
:UBIOS_OUT_GEOIP - [0:0]
:UBIOS_WAN_IN_USER - [0:0]
:UBIOS_WAN_LOCAL_USER - [0:0]
:UBIOS_WAN_OUT_USER - [0:0]
-A INPUT -j LOG --log-prefix "::INPUT1:"
-A INPUT -j UBIOS_INPUT_JUMP
-A FORWARD -j LOG --log-prefix "::INPUT2:"
-A FORWARD -j UBIOS_FORWARD_JUMP
-A OUTPUT -j LOG --log-prefix "::INPUT3:"
-A OUTPUT -j UBIOS_OUTPUT_JUMP
-A UBIOS_FORWARD_IN_USER -i eth4 -m comment --comment 00000001095216663481 -j UBIOS_WAN_IN_USER
-A UBIOS_FORWARD_IN_USER -i br0 -m comment --comment 00000001095216663482 -j UBIOS_LAN_IN_USER
-A UBIOS_FORWARD_IN_USER -i br2 -m comment --comment 00000001095216663483 -j UBIOS_LAN_IN_USER
-A UBIOS_FORWARD_IN_USER -i br3 -m comment --comment 00000001095216663484 -j UBIOS_LAN_IN_USER
-A UBIOS_FORWARD_IN_USER -i br4 -m comment --comment 00000001095216663485 -j UBIOS_LAN_IN_USER
-A UBIOS_FORWARD_IN_USER -i br5 -m comment --comment 00000001095216663486 -j UBIOS_LAN_IN_USER
-A UBIOS_FORWARD_IN_USER -i br6 -m comment --comment 00000001095216663487 -j UBIOS_LAN_IN_USER
-A UBIOS_FORWARD_IN_USER -i br8 -m comment --comment 00000001095216663488 -j UBIOS_LAN_IN_USER
-A UBIOS_FORWARD_JUMP -j UBIOS_FORWARD_USER_HOOK
-A UBIOS_FORWARD_OUT_USER -o eth4 -m comment --comment 00000001095216663481 -j UBIOS_WAN_OUT_USER
-A UBIOS_FORWARD_OUT_USER -o br0 -m comment --comment 00000001095216663482 -j UBIOS_LAN_OUT_USER
-A UBIOS_FORWARD_OUT_USER -o br2 -m comment --comment 00000001095216663483 -j UBIOS_LAN_OUT_USER
-A UBIOS_FORWARD_OUT_USER -o br3 -m comment --comment 00000001095216663484 -j UBIOS_LAN_OUT_USER
-A UBIOS_FORWARD_OUT_USER -o br4 -m comment --comment 00000001095216663485 -j UBIOS_LAN_OUT_USER
-A UBIOS_FORWARD_OUT_USER -o br5 -m comment --comment 00000001095216663486 -j UBIOS_LAN_OUT_USER
-A UBIOS_FORWARD_OUT_USER -o br6 -m comment --comment 00000001095216663487 -j UBIOS_LAN_OUT_USER
-A UBIOS_FORWARD_OUT_USER -o br8 -m comment --comment 00000001095216663488 -j UBIOS_LAN_OUT_USER
-A UBIOS_FORWARD_USER_HOOK -m comment --comment 00000001095216663481 -j UBIOS_FORWARD_IN_USER
-A UBIOS_FORWARD_USER_HOOK -m comment --comment 00000001095216663482 -j UBIOS_FORWARD_OUT_USER
-A UBIOS_INPUT_JUMP -j UBIOS_INPUT_USER_HOOK
-A UBIOS_INPUT_USER_HOOK -i eth4 -m comment --comment 00000001095216663481 -j UBIOS_WAN_LOCAL_USER
-A UBIOS_INPUT_USER_HOOK -i br0 -m comment --comment 00000001095216663482 -j UBIOS_LAN_LOCAL_USER
-A UBIOS_INPUT_USER_HOOK -i br2 -m comment --comment 00000001095216663483 -j UBIOS_LAN_LOCAL_USER
-A UBIOS_INPUT_USER_HOOK -i br3 -m comment --comment 00000001095216663484 -j UBIOS_LAN_LOCAL_USER
-A UBIOS_INPUT_USER_HOOK -i br4 -m comment --comment 00000001095216663485 -j UBIOS_LAN_LOCAL_USER
-A UBIOS_INPUT_USER_HOOK -i br5 -m comment --comment 00000001095216663486 -j UBIOS_LAN_LOCAL_USER
-A UBIOS_INPUT_USER_HOOK -i br6 -m comment --comment 00000001095216663487 -j UBIOS_LAN_LOCAL_USER
-A UBIOS_INPUT_USER_HOOK -i br8 -m comment --comment 00000001095216663488 -j UBIOS_LAN_LOCAL_USER
-A UBIOS_LAN_IN_USER -d 10.0.10.10/32 -j LOG
-A UBIOS_LAN_IN_USER -d 10.0.10.10/32 -m comment --comment 00000001095216662480 -j RETURN
-A UBIOS_LAN_IN_USER -s 10.0.10.10/32 -j LOG
-A UBIOS_LAN_IN_USER -s 10.0.10.10/32 -m comment --comment 00000001095216662481 -j RETURN
-A UBIOS_LAN_IN_USER -s 10.0.2.0/24 -m comment --comment 00000001095216666481 -j RETURN
-A UBIOS_LAN_IN_USER -s 10.0.3.0/24 -m comment --comment 00000001095216666482 -j RETURN
-A UBIOS_LAN_IN_USER -s 10.0.1.0/24 -m comment --comment 00000001095216666483 -j RETURN
-A UBIOS_LAN_IN_USER -s 10.2.2.0/24 -m comment --comment 00000001095216666484 -j RETURN
-A UBIOS_LAN_IN_USER -s 10.0.10.0/24 -m comment --comment 00000001095216666485 -j RETURN
-A UBIOS_LAN_IN_USER -s 10.1.1.0/24 -m comment --comment 00000001095216666486 -j RETURN
-A UBIOS_LAN_IN_USER -s 10.0.0.0/24 -m comment --comment 00000001095216666487 -j RETURN
-A UBIOS_LAN_IN_USER -j LOG
-A UBIOS_LAN_IN_USER -m comment --comment 00000001097364144127 -j RETURN
-A UBIOS_LAN_LOCAL_USER -j LOG
-A UBIOS_LAN_LOCAL_USER -m comment --comment 00000001097364144127 -j RETURN
-A UBIOS_LAN_OUT_USER -d 10.0.2.0/24 -m comment --comment 00000001095216666481 -j RETURN
-A UBIOS_LAN_OUT_USER -d 10.0.3.0/24 -m comment --comment 00000001095216666482 -j RETURN
-A UBIOS_LAN_OUT_USER -d 10.0.1.0/24 -m comment --comment 00000001095216666483 -j RETURN
-A UBIOS_LAN_OUT_USER -d 10.2.2.0/24 -m comment --comment 00000001095216666484 -j RETURN
-A UBIOS_LAN_OUT_USER -d 10.0.10.0/24 -m comment --comment 00000001095216666485 -j RETURN
-A UBIOS_LAN_OUT_USER -d 10.1.1.0/24 -m comment --comment 00000001095216666486 -j RETURN
-A UBIOS_LAN_OUT_USER -d 10.0.0.0/24 -m comment --comment 00000001095216666487 -j RETURN
-A UBIOS_LAN_OUT_USER -j LOG
-A UBIOS_LAN_OUT_USER -m comment --comment 00000001097364144127 -j RETURN
-A UBIOS_WAN_IN_USER -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment 00000001095216663481 -j RETURN
-A UBIOS_WAN_IN_USER -m conntrack --ctstate INVALID -m comment --comment 00000001095216663482 -j DROP
-A UBIOS_WAN_IN_USER -m comment --comment 00000001097364144127 -j DROP
-A UBIOS_WAN_LOCAL_USER -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment 00000001095216663481 -j RETURN
-A UBIOS_WAN_LOCAL_USER -m conntrack --ctstate INVALID -m comment --comment 00000001095216663482 -j DROP
-A UBIOS_WAN_LOCAL_USER -m comment --comment 00000001097364144127 -j DROP
-A UBIOS_WAN_OUT_USER -m comment --comment 00000001097364144127 -j RETURN
COMMIT

我没有配置任何端口转发。我不精通 NAT，所以如果还有其他地方我应该检查，请在评论中提出建议。

我正在尝试使用 python 套接字通过 TCP/IP 与商用电源设备进行通信。

我尝试在同一网络接口上同时使用虚拟 linux（centos8stream）和虚拟 windows10，它们都在同一台物理计算机上运行。两者都有python3.9。

我想象 tcp/ip 套接字在两个操作系统中都可以正常工作，但我只在 linux 中遇到了一些通信问题：

• 几次尝试后，发送和接收之间的延迟变得更长（2 秒而不是 0.14 秒）
• 有时我会超时，根本无法与设备通信。

我让 Wireshark 在两个操作系统中运行：

• 在 Windows 中没有异常消息（很少有 TCP 重传）
• 在 linux 中，一段时间后（或有时立即）wireshark 会被 TCP Dup Ack、TCP Fast Retransmission 和 TCP Spurious Retransmissions 淹没。

我的问题：

1. 差异的根源可能是什么？我可以尝试任何套接字选项吗？
2. 有没有办法比较linux和windows10中的网络参数？

连续读取设备标识的示例程序：

import socket
from time import sleep,time
HOST = '10.27.4.50'
PORT = 4444

#Create object and open the connection
client = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client.connect((HOST, PORT))

client.settimeout(5)

# Read identification
message=(b'*IDN?\r\n')

for i in range(5):
    start_time = time()
    client.sendall(message)
    rep=client.recv(1024)
    print("Trial {}, delay: {} seconds ".format(i,time() - start_time))
    sleep(1)

client.close()

视窗：

Trial 0, delay: 0.17121100425720215 seconds
Trial 1, delay: 0.10957813262939453 seconds
Trial 2, delay: 0.17148327827453613 seconds
Trial 3, delay: 0.13976049423217773 seconds
Trial 4, delay: 0.14109373092651367 seconds

linux（看到最后一条消息需要更长的时间才能收到响应，这对应于 TCP 错误的开始）

Trial 0, delay: 0.15080499649 seconds
Trial 1, delay: 0.143104076385 seconds
Trial 2, delay: 0.170531988144 seconds
Trial 3, delay: 0.183187961578 seconds
Trial 4, delay: 2.0480530262 seconds

注意：我还尝试了一台物理 linux 机器，也有同样的问题。