Интерпретация вывода tcpdump - PullRequest
Новая
       28

Интерпретация вывода tcpdump

0 голосов
/ 02 июля 2018 
+ 05:09:27.978249 IP 10.0.3.25 > 10.0.4.25: ICMP echo request, id 2604, seq 162, length 64
+ 05:09:27.978281 IP 10.0.4.25 > 10.0.3.25: ICMP echo reply, id 2604, seq 162, length 64
+ 05:09:27.979776 IP 10.0.4.25.45430 > google-public-dns-a.google.com.domain: 14148+ PTR? 25.4.0.10.in-addr.arpa. (40)
+ 05:09:27.981683 IP google-public-dns-a.google.com.domain > 10.0.4.25.45430: 14148 NXDomain 0/0/0 (40)
+ 05:09:27.981841 IP 10.0.4.25.46696 > google-public-dns-a.google.com.domain: 10797+ PTR? 25.3.0.10.in-addr.arpa. (40)
+ 05:09:27.983583 IP google-public-dns-a.google.com.domain > 10.0.4.25.46696: 10797 NXDomain 0/0/0 (40)
+ 05:09:27.983714 IP 10.0.4.25.60389 > google-public-dns-a.google.com.domain: 15771+ PTR? 8.8.8.8.in-addr.arpa. (38)
+ 05:09:27.995332 IP google-public-dns-a.google.com.domain > 10.0.4.25.60389: 15771 1/0/0 PTR google-public-dns-a.google.com. (82)
+ 05:09:28.979778 IP 10.0.3.25 > 10.0.4.25: ICMP echo request, id 2604, seq 163, length 64
+ 05:09:28.979825 IP 10.0.4.25 > 10.0.3.25: ICMP echo reply, id 2604, seq 163, length 64
+ 05:09:29.981257 IP 10.0.3.25 > 10.0.4.25: ICMP echo request, id 2604, seq 164, length 64

1 Ответ

0 голосов
/ 02 июля 2018

То, что я вижу, это:

  • Хост 10.0.3.25 пингует хост 10.0.4.25 каждую секунду и хост 10.0.4.25 отвечает. Вы не показываете нам полезную нагрузку, но, исходя из размера 64, это выглядит как обычные запросы и ответы пинга ICMP.
  • Хост 10.0.4.25 выполняет обратный поиск своего адреса в Google. Неудивительно, что Google отправляет ответ на домен NX (несуществующий домен). Это неудивительно, поскольку 10.0.0.0/8 является частным адресом RFC-1918.
  • Хост 10.0.4.25 затем пытается выполнить обратный поиск для 10.0.3.25. Это также приводит к неудивительному ответу NXDomain по той же причине, что и выше.
  • Хост 10.0.4.25 выполняет обратный поиск для сервера имен Google 8.8.8.8. У меня нет никаких доказательств, но я подозреваю, что это вызвано запуском tcpdump без параметров -n, что приведет к поиску. На самом деле, я подозреваю, что DNS-запросы являются результатом работы tcpdump без -n и что хост, на котором запускается tcpdump, настроен на использование 8.8.8.8 в качестве сервера имен.

У вас был более конкретный вопрос?

...