Дамп трафика в экзотическом формате

0

2

Доброго времени суток.

Удалённая сторона по запросу прислала дамп трафика, который ничем не удалось прочитать.

wireshark, windows: «ins't a capture file in a format Wireshark understand»

tcpdump, linux/AIX/HP-UX :

# tcpdump -r TKD_XXX.DMP
tcpdump: bad dump file format

подчеркну, линукс, чпукс на итаниуме и аикс единодушны, т.к. endianes вроде бы не при чём.

Существуют ли другие (кроме tcpdump/winpcap) способы сбора трафика? Или они просто тянут время, прислав мусор ?

Ссылка

←	Проблема со скоростью маршрутизации

Перечитать раздел после расширения без перезагрузки

→

А спросить у них, в каком формате данные?

~~berrywizard~~ ★★★★★
(01.09.11 10:48:34 MSK)

Сам файл в текстовом редакторе смотрел? Что говорит file на этот файл?

true_admin ★★★★★
(01.09.11 10:54:12 MSK)

Ответ на: комментарий от berrywizard 01.09.11 10:48:34 MSK

В процессе. Но пока эти раздолбаи ответят ;)

router ★★★★★
(01.09.11 11:21:09 MSK) автор топика

Ссылка

Ответ на: комментарий от true_admin 01.09.11 10:54:12 MSK

пробовал, сырые данные, в любой ОС.

linux: TKD_XXX.DMP: data

hpux: TKD_XXX.DMP: [nt]roff, tbl, or eqn input text

AIX: TKD_XXX.DMP: commands text

router ★★★★★
(01.09.11 11:23:32 MSK) автор топика

Я бы в первую очередь удаленную сторону спросил чем они пользовались.

Nefer ★
(01.09.11 11:39:50 MSK)

Ответ на: комментарий от Nefer 01.09.11 11:39:50 MSK

>чем они пользовались

Без экологических ромашек не обошлось

slackwarrior ★★★★★
(01.09.11 11:43:19 MSK)

Ссылка

Ответ на: комментарий от router 01.09.11 11:23:32 MSK

Можешь кусок данных сначала показать? Или это конфиденциальные данные?

true_admin ★★★★★
(01.09.11 12:28:45 MSK)

Ответ на: комментарий от true_admin 01.09.11 12:28:45 MSK

Весь файл не могу.

$ dd if=TKD_XXX.DMP bs=20 count=1 | hexdump -C
1+0 записей считано
1+0 записей написано
 скопировано 20 байт (20 B), 2,4e-05 c, 833 kB/c
00000000  54 43 32 21 02 6b 51 55  4e 29 5c 05 6b 51 55 4e  |TC2!.kQUN)\.kQUN|
00000010  60 74 07 6a                                       |`t.j|
00000014

router ★★★★★
(01.09.11 12:33:35 MSK) автор топика

Ссылка

Ответили что собирали обычным tcpdump'ом в openvms

router ★★★★★
(01.09.11 18:17:48 MSK) автор топика

Ответ на: комментарий от router 01.09.11 18:17:48 MSK

Класс. Это меня н@#$й послали, по сути. Свободную партицию на итаниуме мне для теста никто не даст, а dec тем более не достать.

http://ru.wikipedia.org/wiki/OpenVMS

router ★★★★★
(01.09.11 18:21:31 MSK) автор топика

Ответ на: комментарий от router 01.09.11 18:21:31 MSK

Running VAX/VMS Under Linux Using SIMH http://www.wherry.com/gadgets/retrocomputing/vax-simh.html

Образы диска OpenVMS VAX x86 есть на торрентах.

anonymous
(02.09.11 04:25:28 MSK)

Ответ на: комментарий от anonymous 02.09.11 04:25:28 MSK

Увы, ответ должнен быть официальным, так что торренты отпадают :(

Пока надумал предложить им такой вариант: на циске зазеркалировать трафик на свободный порт, к этому подключить ноут с чем-нибудь вменяемям и собирать обычный дамп, который можно прочитать.

router ★★★★★
(02.09.11 12:11:54 MSK) автор топика

Ответ на: комментарий от router 02.09.11 12:11:54 MSK

Как вариант: дампить в OpenVMS tcpiptrace(ом) или tcptrace(ом) а смотреть дамп в wireshark.

anonymous
(02.09.11 22:39:12 MSK)

Ссылка

Ответ на: комментарий от router 01.09.11 18:17:48 MSK

Странно... Я на OpenVMS снимал tcpdump-ом дамп трафика всё снималось в нормальном формате libpcap, читалось wireshark-ом. OpenVMS на серверах HP как с процессорами альфа так и с итаниумами.

P.S. Что касается не читаемых форматов данных. Есть такое устройство/анализатор трафика Radcom, так вот ни чем его бинарный дамп трафика мне не удалось прочитать.

Viper ★
(04.09.11 21:21:53 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проблема со скоростью маршрутизации

Admin

Перечитать раздел после расширения без перезагрузки

→

Похожие темы