解释tcpdump输出

时间:2018-07-02 05:39:28

标签: networking dns tcpdump icmp 

+ 05:09:27.978249 IP 10.0.3.25 > 10.0.4.25: ICMP echo request, id 2604, seq 162, length 64
+ 05:09:27.978281 IP 10.0.4.25 > 10.0.3.25: ICMP echo reply, id 2604, seq 162, length 64
+ 05:09:27.979776 IP 10.0.4.25.45430 > google-public-dns-a.google.com.domain: 14148+ PTR? 25.4.0.10.in-addr.arpa. (40)
+ 05:09:27.981683 IP google-public-dns-a.google.com.domain > 10.0.4.25.45430: 14148 NXDomain 0/0/0 (40)
+ 05:09:27.981841 IP 10.0.4.25.46696 > google-public-dns-a.google.com.domain: 10797+ PTR? 25.3.0.10.in-addr.arpa. (40)
+ 05:09:27.983583 IP google-public-dns-a.google.com.domain > 10.0.4.25.46696: 10797 NXDomain 0/0/0 (40)
+ 05:09:27.983714 IP 10.0.4.25.60389 > google-public-dns-a.google.com.domain: 15771+ PTR? 8.8.8.8.in-addr.arpa. (38)
+ 05:09:27.995332 IP google-public-dns-a.google.com.domain > 10.0.4.25.60389: 15771 1/0/0 PTR google-public-dns-a.google.com. (82)
+ 05:09:28.979778 IP 10.0.3.25 > 10.0.4.25: ICMP echo request, id 2604, seq 163, length 64
+ 05:09:28.979825 IP 10.0.4.25 > 10.0.3.25: ICMP echo reply, id 2604, seq 163, length 64
+ 05:09:29.981257 IP 10.0.3.25 > 10.0.4.25: ICMP echo request, id 2604, seq 164, length 64

1 个答案:

答案 0 :(得分:0)

我看到的是:

  • 主机10.0.3.25每秒钟ping主机10.0.4.25并响应主机10.0.4.25。您没有向我们显示有效负载,但是基于64的大小,这些负载似乎完全是正常的ICMP ping请求和响应。
  • 主机10.0.4.25对其向Google的地址执行反向查找。毫不奇怪,Google发送NX域(不存在域)响应。这并不奇怪,因为10.0.0.0/8是RFC-1918专用地址。
  • 主机10.0.4.25接下来尝试对10.0.3.25进行反向查找。出于与上述相同的原因,这也导致NXDomain响应不足为奇。
  • 主机10.0.4.25对Google的8.8.8.8名称服务器执行反向查找。我没有证据,但是有点怀疑这是由不带-n选项的tcpdump运行触发的,它将强制执行这些查找。实际上,我怀疑DNS请求纯粹是在没有-n的情况下运行tcpdump的结果,并且正在运行tcpdump的主机配置为使用8.8.8.8作为其名称服务器。

您还有一个更具体的问题吗?

相关问题
最新问题