Captura de pacote no host ESXi

Question

Captura de pacote no host ESXi

#1 resposta do (1 votos)

1

Eu tenho um problema que estou tentando rastrear e acredito que o problema esteja no hardware de rede física. Eu li o VMWare documentação sobre o comando pktcap-uw e sei que posso usá-lo para despejar o tráfego para um arquivo que pode ser visto com o Wireshark, mas os pcaps que estou recebendo são um pouco estranhos.

Olhando para a documentação, quero ver o tráfego apenas entre dois endereços IP (IP A e IP B) na porta 80 e posso usar a opção --ip, mas se eu tiver --ip A --ip B é um E booleano ou um OR booleano.

O tcpdump permite que você especifique OR ou AND e use parênteses para fazer uma expressão booleana completa. Para o pktcap-uw existe também o --dstip e --srcip, mas se você usar o equivalente tcpdump, você normalmente obteria apenas metade da conversa.

Qual seria a sintaxe correta?

networking wireshark tcpdump vmware-esxi

por James Shewey 18.09.2015 / 23:08

1 resposta

Tags networking wireshark tcpdump vmware-esxi

Decomissão do papel do DC do Active Directory, mas mantenha o serviço DNS Junção de domínio do Samba no Linux para o usuário auth AD no SoftEther

score 1 · Answer 1

Acabei de testar com o pktcap-uw.

if I have --ip A --ip B, is that a boolean AND or a boolean OR.

Quando você especifica --ip duas vezes, somente a última opção especificada é usada.

Se você especificar diferentes tipos de opções, por exemplo, --ip e --tcpport, eles são ANDed.

Existem algumas opções do VProbe para o pktcap-uw. Meu melhor palpite para o futuro seria que você pudesse compilar manualmente um script VProbe que filtre o tráfego que deseja e o alimente ao pktcap-uw.

Encontrou um repositório git com um kit de ferramentas VProbe aqui: link