tcpdump怎么看是哪个软件发出的连接

网络数据采集分析工具TcpDump分析详细例子 （1）网络邮件服务器（mail）在排障 我们先来看看故障现象，在一局域网中新安装了后台为qmail的邮件服务器server，邮件服务器收发邮件等基本功能正常，但在使用中发现一个普遍的怪现象：pc机器上发邮件时连接邮件服务器后要等待很久的时间才能开始实际的发送工作。

我们来看，从检测来看，网络连接没有问题，邮件服务器server和下面的pc性能都没有问题，问题可能出在哪里呢？为了进行准确的定位，我们在pc机client上发送邮件，同时在邮件服务器server上使用tcpdump对这个client的数据包进行捕获分析，如下： server#tcpdump host client tcpdump: listening on hme0 23:41:30.040578 client.1065 > server.smtp: S 1087965815:1087965815(0) win 64240 (DF) 23:41:30.040613 server.smtp > client.1065: S 99285900:99285900(0) ack 1087965816 win 10136 (DF) 23:41:30.040960 client.1065 > server.smtp: . ack 1 win 64240 (DF) 顺利的完成，到目前为止正常，我们再往下看： 23:41:30.048862 server.33152 > client.113: S 99370916:99370916(0) win 8760 (DF) 23:41:33.411006 server.33152 > client.113: S 99370916:99370916(0) win 8760 (DF) 23:41:40.161052 server.33152 > client.113: S 99370916:99370916(0) win 8760 (DF) 23:41:56.061130 server.33152 > client.113: R 99370917:99370917(0) win 8760 (DF) 23:41:56.070108 server.smtp > client.1065: P 1:109(108) ack 1 win 10136 (DF) 看出问题了，问题在：我们看到server端试图连接client的113identd端口，要求认证，然而没有收到client端的回应，server端重复尝试了3次，费时26秒后，才放弃认证请求，主动发送了reset标志的数据包，开始push后面的数据，而正是在这个过程中所花费的26秒时间，造成了发送邮件时漫长的等待情况。

问题找到了，就可以修改了，我们通过修改服务器端的qmail配置，使它不再进行113端口的认证，再次抓包，看到邮件server不再进行113端口的认证尝试，而是在三次检测后直接push数据，问题得到完美的解决。

（2）网络安全中的ARP协议的故障 先看故障现象，局域网中的一台采用solaris操作系统的服务器A-SERVER网络连接不正常，从任意主机上都无法ping通该服务器。

排查：首先检查系统，系统本身工作正常，无特殊进程运行，cpu，内存利用率正常，无挂接任何形式的防火墙，网线正常。

此时我们借助tcpdump来进行故障定位，首先我们将从B-CLIENT主机上执行ping命令，发送icmp数据包给A-SERVER，如下： [root@redhat log]# ping A-SERVER PING A-SERVER from B-CLIENT : 56(84) bytes of data. 此时在A-SERVER启动tcpdump，对来自主机B-CLIENT的数据包进行捕获。

A-SERVER# tcpdump host B-CLIENT tcpdump: listening on hme0 16:32:32.611251 arp who-has A-SERVER tell B-CLIENT 16:32:33.611425 arp who-has A-SERVER tell B-CLIENT 16:32:34.611623 arp who-has A-SERVER tell B-CLIENT 我们看到，没有收到预料中的ICMP报文，反而捕获到了B-CLIENT发送的arp广播包，由于主机B-CLIENT无法利用arp得到服务器A-SERVER的地址，因此反复询问A-SERVER的MAC地址，由此看来，高层的出问题的可能性不大，很可能在链路层有些问题，先来查查主机A-SERVER的arp表： A-SERVER# arp -a Net to Media Table Device IP Address Mask Flags Phys Addr ------ -------------------- --------------- ----- --------------- hme0 netgate 255.255.255.255 00:90:6d:f2:24:00 hme0 A-SERVER 255.255.255.255 S 00:03:ba:08:b2:83 hme0 BASE-ADDRESS.MCAST.NET 240.0.0.0 SM 01:00:5e:00:00:00 请注意A-SERVER的Flags位置，我们看到了只有S标志。

我们知道，solaris在arp实现中，arp的flags需要设置P标志，才能响应ARP requests。

手工增加p位 A-SERVER# arp -s A-SERVER 00:03:ba:08:b2:83 pub 此时再调用arp -a看看 A-SERVER# arp -a Net to Media Table Device IP Address Mask Flags Phys Addr ------ -------------------- --------------- ----- --------------- hme0 netgate 255.255.255.255 00:90:6d:f2:24:00 hme0 A-SERVER 255.255.255.255 SP 00:03:ba:08:b2:83 hme0 BASE-ADDRESS.MCAST.NET 240.0.0.0 SM 01:00:5e:00:00:00 我们看到本机已经有了PS标志，此时再测试系统的网络连接恢复正常，问题得到解决。

（3）netflow软件的问题 先看故障现象，在新装的网管工作站上安装cisco netflow软件对路由设备流量等进行分析，路由器按照要求配置完毕，本地工作上软件安装正常，无报错信息，但是启动netflow collector却收不到任何路由器上发出的流量信息，导致该软件失效。

排查现象，反复检查路由和软件，配置无误。

采用逐步分析的方法，首先先要定位出有问题的设备，是路由器根本没有发送流量信息还是本地系统接收出现了问题？突然想到在路由器上我们定义了接收的client端由udp端口9998接收数据，可以通过监视这个端口来看路由器是否确实发送了udp数据，如果系统能够接收到来自路由的数...

如何使用netflow

Windows版Netflow流量采集程序在微软Windows环境下直接运行，中文界面，简洁实用，不用安装，真正的绿色软件。

该软件采集netflow流量信息（思科和凯创等的路由器交换机支持该协议），并在屏幕上实时显示。

并能进行日志查询和流量统计。

netflow技术在路由器或三层交换机上采集流量信息，然后发送到采集主机，比sniffer等抓包采集方式效率高很多。

又不比RMON等方式只有流量统计信息，而netflow带有详细的访问日志。

该程序可用于网络管理时的网络通信日志记录和实时监视，可进行日志查询、流量统计和安全分析，可按网络协议、源目的端口号、源目的IP地址、IP服务位、TCP标志位等进行查询统计。

也可用于网络系统集成和网络应用开发调试时的辅助测试验证工具。

二、系统要求1、WINDOWS 2000或WINDOWS XP以上操作系统。

2、INTEL P3 1.0（或相当于）以上CPU，流量大时，建议P4 2.0以上。

3、512MB以上内存，流量大时，建议1GB以上内存。

4、屏幕最佳分辨率为1024x768。

三、程序配置与使用1、程序不用安装，直接运行即可。

运行环境为微软WINDOWS 2000以上操作系统，屏幕最佳分辨率为1024x768。

程序运行并接收流量报文后会生成flowlog子目录，存储日志文件。

2、软件注册，请与软件作者联系，将机器码、公司名、用户名、联系电话、电子邮件等告诉程序作者。

如未注册，流量记录的ip地址和字节数会随机地显示和存储为“未注册”。

3、流量较大时，可按“关闭监视”“打开监视”按钮，关闭监视后，屏幕不再滚动显示流量记录，这可提高流量采集速度，但记录已存储在磁盘上，不影响查询和流量统计分析。

四、思科CISCO系列路由器交换机NETFLOW配置1、config全局状态下配置netflow版本：（config）#ip flow-export version 5此命令将netflow配置为版本5。

本程序暂时只支持netflow版本V1、V5。

2、config全局状态下配置netflow服务器地址和端口号：（config）#ip flow-export destination xxx.xxx.xxx.xxx 55888其中，xxx.xxx.xxx.xxx为netflow服务器地址，即运行该程序的主机的IP地址，55888为服务端口号。

3、在CISCO系列路由器交换机每个接口上（例如interface fastethernet0/0;interface fastethernet0/1等）配置：（config-if）#ip route-cache flow4、Config全局状态下设置时区（config）#clock timezone Beijing 8此命令配置为北京时间，+8时区。

5、enable状态下设置日期时间#clock set 17:05:00 6 aug 2003此命令配置为2003年8月6日17时05分00秒。

注意：要先配时区，后设置日期时间。

同时，接收netflow报文的计算机也要配置成相应的时区。

有的cisco机型掉电后，需重新设置日期和时间。

凯创等其它型号netflow的配置方法请见相应产品的说明书。

苹果手机哪个软件可以看电视直播

你好来看看吧 пn99н · C 〇 mNetFlow的工作原理主要是：NetFlow先记录下初始化IP包的数据，如IP协议类型、服务种类（ToS）、接口标识等，然后，为了更有效对数据进行匹配和计数，NetFlow让随后的数据在同一个数据流中进行传输，同时，对它们使用各自相应的服务，如安全性过滤、QoS策略、流量策划等。

实时数据被存储在NetFlow的缓存中，

如何让自己电脑接收netflow

百度了一下，获得这个信息：Netflow Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。

也许它不能象tcpdump那样提供网络流量的完整记录，但是当汇集起来是，它更加易于管理和易读。

Netflow由Cisco创造。

Netflow结构 一个Netflow系统包括三个主要部分：探测器，采集器，报告系统。

探测器是用来监听网络数据的。

采集器是用来收集探测器传来的数据的。

报告系统是用来从采集器收集到的数据产生易读的报告的。

顺便赠送一个信息：Mocha NTA，这个流量分析工具支持这个协议，所以可以用来对Cisco的相关产品进行流量分析。

...

什么样的网络流量监控软件比较好用

手机360卫士设置流量监控的方法/步骤：1、下载安装360手机安全卫士软件。

2、打开360手机卫士主页面，点击“流量监控”菜单。

3、第三步、点击右上角的“设置”按钮。

4、使“开启流量监控”后面按钮处于“已开启”状态上。

5、点击“每月流量套餐”输入每个月的流量数。

6、在选择每个月结算的日期，可以根据自己的实际情况进行选择。

7、再向下滑动，开启流量超额提醒，点击“月剩余流量预警”按钮。

8、用手指滑动滑块，设置预警的流量数。

...

转载请注明出处51数据库 » netflow 软件