Edge抓包

今天在客户端进行故障排除时,我需要在环境中的一个边缘服务网关上执行包捕获。在诊断一系列不同的问题时,执行包捕获通常非常有用。

要启动包捕获,您可以跳到ESG的控制台,或者像我在本例中所做的那样,打开ESG的SSH会话。您需要知道在哪个接口上运行捕获,

因此运行以下命令列出所有接口(为了便于阅读/1,已经从输出中删除了所有显示在/下面的接口)



vShield-edge-3-0> show interface

Interface VDR is up, line protocol is up

  index 2 metric 1 mtu 1500 <UP,BROADCAST,RUNNING,NOARP>

  HWaddr: 12:ee:19:2e:18:f6

  inet6 fe80::10ee:19ff:fe2e:18f6/64

  proxy_arp: disabled

  Auto-duplex (Full), Auto-speed (2157Mb/s)

    input packets 0, bytes 0, dropped 0, multicast packets 0

    input errors 0, length 0, overrun 0, CRC 0, frame 0, fifo 0, missed 0

    output packets 0, bytes 0, dropped 0

    output errors 0, aborted 0, carrier 0, fifo 0, heartbeat 0, window 0

    collisions 0

Interface br-sub is up, line protocol is up

  index 13 metric 1 mtu 1500 <UP,BROADCAST,RUNNING,MULTICAST>

  inet6 fe80::5890:b7ff:fecd:6c9c/64

  proxy_arp: disabled

  Auto-duplex (Full), Auto-speed (2157Mb/s)

    input packets 0, bytes 0, dropped 0, multicast packets 0

    input errors 0, length 0, overrun 0, CRC 0, frame 0, fifo 0, missed 0

    output packets 319, bytes 27498, dropped 0

    output errors 0, aborted 0, carrier 0, fifo 0, heartbeat 0, window 0

    collisions 0

Interface lo is up, line protocol is up

  index 1 metric 1 mtu 16436 <UP,LOOPBACK,RUNNING>

  inet 127.0.0.1/8

  inet6 ::1/128

  proxy_arp: disabled

  Auto-duplex (Full), Auto-speed (2157Mb/s)

    input packets 10738, bytes 1550427, dropped 0, multicast packets 0

    input errors 0, length 0, overrun 0, CRC 0, frame 0, fifo 0, missed 0

    output packets 10738, bytes 1550427, dropped 0

    output errors 0, aborted 0, carrier 0, fifo 0, heartbeat 0, window 0

    collisions 0

Interface vNic_0 is up, line protocol is up

  index 3 metric 1 mtu 1500 <UP,BROADCAST,RUNNING,MULTICAST>

  HWaddr: 00:50:56:9d:74:93

  inet6 fe80::250:56ff:fe9d:7493/64

  inet 10.29.254.241/24

  proxy_arp: disabled

  Auto-duplex (Full), Auto-speed (2157Mb/s)

    input packets 22451, bytes 4017743, dropped 1535, multicast packets 4540

    input errors 0, length 0, overrun 0, CRC 0, frame 0, fifo 0, missed 0

    output packets 44431, bytes 7692037, dropped 0

    output errors 0, aborted 0, carrier 0, fifo 0, heartbeat 0, window 0

    collisions 0

Interface vNic_1 is up, line protocol is up

  index 6 metric 1 mtu 1500 <UP,BROADCAST,RUNNING,MULTICAST>

  HWaddr: 00:50:56:9d:0e:30

  inet 10.29.2.241/28

  inet6 fe80::250:56ff:fe9d:e30/64

  proxy_arp: disabled

  Auto-duplex (Full), Auto-speed (2157Mb/s)

    input packets 54060, bytes 5087410, dropped 2, multicast packets 26763

    input errors 0, length 0, overrun 0, CRC 0, frame 0, fifo 0, missed 0

    output packets 13694, bytes 1282604, dropped 0

    output errors 0, aborted 0, carrier 0, fifo 0, heartbeat 0, window 0

    collisions 0

在这个例子中,我想看看在vNic o上发生了什么。我建议(VMware也是这么建议的)不要在流量很大的生产环境中运行这个命令,

因为它会向屏幕输出大量数据,并可能在ESG上导致性能问题

debug packet display interface vNic_0

您可以使用以下命令将输出保存在捕获文件中,而不是在屏幕上显示输出。

vShield-edge-3-0> debug packet capture interface vNic_0

/blue_lane/bin/run_tcpdump: line 24: kill: (25763) - No such process

tcpdump: listening on vNic_0, link-type EN10MB (Ethernet), capture size 65535 bytes

您甚至可以在幕后看到它正在运行的tcpdump,这意味着您还可以编写很酷的表达式或过滤器。

下面的命令将与我的IP地址(10.29.16.70)之间的SSH连接排除在捕获之外。在表达式的单词之间必须使用下划线。

vShield-edge-3-0> debug packet display interface vNic_0 not_port_22_and_not_host_10.29.17.60

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on vNic_0, link-type EN10MB (Ethernet), capture size 65535 bytes

05:49:51.551162 IP 10.29.64.240 > 10.29.16.70: ICMP echo reply, id 26207, seq 19278, length 64

05:49:51.980973 IP 10.29.2.254 > 10.29.16.70: ICMP echo reply, id 36695, seq 19879, length 64

在对文件执行捕获之后,可以使用以下命令列出所有捕获文件

vShield-edge-3-0> debug show files

total 1.0K

-rw------- 1 708 Mar 16 05:45 tcpdump_vNic_0.0

这一切都很好,但做一个目录列表并不能真正帮助我读取文件,所以要复制它,您需要使用以下命令之一,基于您想要使用的传输协议类型。选择是SCP或FTP。下面是如何使用SCP从ESG中复制捕获文件的示例。

vShield-edge-3-0> debug copy scp sneaku@10.29.4.1:/Users/sneaku/tcpdump_vNic_0.0 tcpdump_vNic_0.0

The authenticity of host '10.29.4.1 (10.29.4.1)' can't be established.

RSA key fingerprint is c3:63:18:0b:a8:c0:f0:ed:5b:44:db:ae:61:db:9b:b6.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '10.29.4.1' (RSA) to the list of known hosts.

Password:

tcpdump_vNic_0.0                             100%  864     0.8KB/s   00:00

如果您喜欢,或者需要使用FTP,只需将命令中的协议选择SCP替换为FTP。

一旦您将文件从ESG中取出并放到您可以访问的位置,您就可以使用Wireshark打开捕获文件。

nsx-edge虚拟机抓包实践的更多相关文章

  1. 【测试工具】tcpdump + wireshark 抓包实践

    Tcpdump + Wireshark 抓包实践 工具介绍 Tcpdump 看到dump大家应该有所意识吧,就是下载数据,抓数据.tcpdump是linux下的一个抓取tcp包的命令 Usage: t ...

  2. IOS抓包工具Stream——让移动端的抓包变得轻而易举

    有一天下晚班回家,在地铁上的时候,开发发来信息说,能不能把之前创建的bug再抓包看下数据.顿时心里就想,在地铁上,我上哪抓包去.之后百度了下,发现ios有一款非常实用的抓包工具,大家可以上App St ...

  3. 抓包分析 TCP 握手和挥手

    前言 首先需要明确的是 TCP 是一个可靠传输协议,它的所有特点最终都是为了这个可靠传输服务.在网上看到过很多文章讲 TCP 连接的三次握手和断开连接的四次挥手,但是都太过于理论,看完感觉总是似懂非懂 ...

  4. 浅析手机抓包方法实践(zt)

    原文:http://drops.wooyun.org/tips/12467 0x00 摘要 在移动逆向分析以及 App 开发的时候,总会需要对其网络行为进行监控测试,本文总结一些抓包思路,并对其使用方 ...

  5. 奶瓶(beini)破解无线密码流程:安装、抓包、从虚拟机(VMware)拷贝握手包(拷贝到硬盘、U盘)、跑包

    1. 环境 1). Windows 7 64位版本 2). VMware 9.0.2版本 3). 奶瓶1.2.3版本(beini-1.2.3.iso) 2. 安装 2.1 安装方式一 将beini-1 ...

  6. TCP\IP协议实践:wireshark抓包分析之链路层与网络层

    目录 TCP\IP协议实践:wireshark抓包分析之链路层与网络层 从ping开始 链路层之以太网封装 ip首部 开启ping程序,开始抓包 由一个ping的结果引出来的两个协议ARP ICMP ...

  7. Selenium爬虫实践(踩坑记录)之ajax请求抓包、浏览器退出

    上一篇: 使用Selenium截取网页上的图片 前言 最近在搞公司内部系统,累的一批,需要从另一个内部系统导出数据存到数据库做分析,有大量的数据采集工作,又没办法去直接拿到那个系统的接口,太难了,只能 ...

  8. 在b站做计网实验 - 抓包/get/post

    前言 这篇博文是一个小实验,用python发送get/post请求,其中用到cookie登录bilibili网站并修改个人信息. 抓包 对HTTP应用而言,用浏览器自带的插件可以很方便做到抓包,比如c ...

  9. 《吐血整理》高级系列教程-吃透Fiddler抓包教程(30)-Fiddler如何抓取Android7.0以上的Https包-番外篇

    1.简介 通过宏哥前边几篇文章的讲解和介绍想必大家都知道android7.0以上,有android的机制不在信任用户证书,导致https协议无法抓包.除非把证书装在系统信任的证书里,此时手机需要roo ...

随机推荐

  1. ConcurrentHashMap1.8源码分析

    文章简介 想必大家对HashMap数据结构并不陌生,JDK1.7采用的是数组+链表的方式,JDK1.8采用的是数组+链表+红黑树的方式.虽然JDK1.8对于HashMap有了很大的改进,提高了存取效率 ...

  2. php 获取URL 各部分参数

    URL处理几个关键的函数parse_url.parse_str与http_build_query parse_url() 该函数可以解析 URL,返回其组成部分.它的用法如下: array parse ...

  3. Android AutoCompleteTextView和MultiAutocompleteTextView实现动态自动匹配输入的内容

    AutoCompleteTextView MultiAutocompleteTextView 这两个控件长的很相似,功能也很相似. AutoCompleteTextView 功能: 动态匹配输入的内容 ...

  4. 深入理解group by 语句的执行顺序 from→where→group by→select(含聚合函数)

    由于之前没有对group by 语句的执行顺序(执行原理)做深入的了解,所以导致在实际应用过程中出现了一些问题.举个简单的粟子,比如一个表testA中的所有数据如下图: 我现在想从testA中查询us ...

  5. 教你一招 | 用Python实现简易可拓展的规则引擎

    做这个规则引擎的初衷是用来实现一个可序列号为json,容易拓展的条件执行引擎,用在类似工作流的场景中,最终实现的效果希望是这样的: 简单整理下需求 执行结果最终返回=true= or false 支持 ...

  6. The xp_cmdshell proxy account information cannot be retrieved or is invalid. Verify that the '##xp_cmdshell_proxy_account##' credential exists and contains valid information.

    In one of our recent migrations, we got the following error when the client tried to fire xp_cmdshel ...

  7. c/c++ 模板 类型推断

    模板类型的推断 下面的函数f是个模板函数,typename T.下表是,根据调用测的实参,推断出来的T的类型. 请注意下表的红字部分, f(T&& t)看起来是右值引用,但其实它会根据 ...

  8. centos7安装docker并设置开机自启以及常用命令

    Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化.容器是完全使用沙箱机制,相互之间不会有任何 ...

  9. SpringBoot使用qq邮箱发送邮件

    最近公司要做一个邮箱注册和重置密码的功能,因为之前就做过,但是不是Springboot项目,所以相对来说还是比较容易的,在这里记录一下. 一.引用Maven依赖 这里使用spring自带的邮件jar包 ...

  10. JToken和BsonValue对象的相互转换

    /// <summary> /// JObject和BsonValue之间的 /// </summary> public static class AdapterExtensi ...