Re: Portnummern in tcpdump

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Thu, 14 Dec 2006 19:07:21 +0100 (CET)



Bernd Walter wrote:


 > Bernd Walter wrote:


 > > Oliver Fromme wrote:


 > > > PS:  Mal kurz on-topic:  Bin ich der einzige, der unter


 > > > FreeBSD 6.2 im tcpdump Portnumern > 65535 sieht, oder haben


 > > > noch andere das Problem?  In meinem Fall sehe ich's in er-


 > > > ster Linie bei NFS-Traffic (UDP).  Sehr seltsam.


 > > 


 > > Mmmm:


 > > 20:51:09.996124 IP 10.1.1.9.1260859573 > 10.1.1.8.2049: 104 access [|nfs]


 > > 20:51:09.996126 IP 10.1.1.9.62666 > 10.1.1.8.22: . ack 96 win 33304 <nop,nop,timestamp 1200809814 3171310738>


 > > 20:51:09.996501 IP 10.1.1.8.2049 > 10.1.1.9.798: . ack 2817684332 win 16536 <nop,nop,timestamp 3171310772 1200809551>


 > > 20:51:09.996888 IP 10.1.1.8.2049 > 10.1.1.9.1260859573: reply ok 124 access [|nfs]


 > > 20:51:09.997004 IP 10.1.1.9.1260859574 > 10.1.1.8.2049: 104 access [|nfs]


 > > 20:51:09.998451 IP 10.1.1.8.2049 > 10.1.1.9.1260859574: reply ok 124 access [|nfs]


 > > 20:51:09.998556 IP 10.1.1.9.1260859575 > 10.1.1.8.2049: 104 access [|nfs]


 > > 20:51:09.999760 IP 10.1.1.8.2049 > 10.1.1.9.1260859575: reply ok 124 access [|nfs]



Das beruhigt mich jetzt erstmal, dass ich nicht der Einzige


bin.  Dann habe ich den PR nicht umsonst abgeschickt.  :)



 > > [61]cicely7# uname -a


 > > FreeBSD cicely7.cicely.de 7.0-CURRENT FreeBSD 7.0-CURRENT #0: Tue Nov 14 02:15:00 CET 2006     ticso(at)cicely7.cicely.de:/usr/obj/usr/c7-2006-11-13/src/sys/CICELY7  i386


 > > 


 > > Wenn ich das richtig verstehe mogelt tcpdump die Transaction-ID da


 > > rein.



Das ist aber kein »Feature«, sondern ein Bug.  In dieser


Form kann man mit dem tcpdump-Output nichts anfangen.



Wenn ich mit -w in eine Datei reinschreibe und diese dann


mit -r wieder auslese, wird's sogar noch schlimmer:


Anstelle der langen Zahl gibt's dann nur noch Nullen.



 > tcpdump -q liefert die echten Port Nummern.



Ah ja, in der Tat.  Interessant.  Nur dummerweise liefert


es dann die anderen Infos nicht mehr, die ich brauche.



Gruß


   Olli



-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
Python is executable pseudocode.  Perl is executable line noise.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 14 Dec 2006 - 19:09:14 CET













search this site