运行tcpdump启动ssh洪水

Question

我在PLC中运行运行时Linux。我的开发机器正在运行Ubuntu14.04。PLC和开发机器通过一个五端口开关连接起来。我从我的开发机器到PLC来传输我在开发机器上开发的网络应用程序的可执行文件。

我在PLC上运行tcpdump来调试我的网络应用程序正在接收的数据包类型，但是一旦启动tcpdump，就会出现大量ssh同步，并从我的ubuntu机器向PLC来回发送ack。PLC以太网控制器的LED灯以及开关上的LED灯开始快速闪烁。洪水淹没了PLC，当所有其他数据包都被丢弃时，PLC几乎就消失了。每当我运行tcpdump时，感觉就像是DOS攻击，但一旦我停止了tcpdump，一切就会平静下来并恢复正常。

我想知道对这个问题的补救办法，以及为什么会发生这种情况？

任何帮助都将不胜感激。

Answer 1

我的命令是> tcpdump -i eth0。但是，我不理解的是，为什么运行tcpdump突然就会产生大量的流量。

试着在镜子前对着镜子，你会明白的。如果不是，试着面对一面镜子和一面镜子，防止镜子看到自己。

因为您的SSH流量也是捕获的一部分，并且是通过SSH会话捕获和报告的。当然，因为它是加密的，这意味着您看不到SSH数据包中的任何内容，但是当tcpdump打印出数据包的报头到您的终端时，对终端的这些更改将通过网络传输。但是，通过网络传输的这些更改将导致更多的数据在网络上被捕获/显示/等等。

无论如何，解决方案从捕获或客户端机器中筛选出ssh，或者两者兼而有之。此外，设置-n选项以防止tcpdump执行DNS查找，并通过与实际活动无关的DNS请求/答复来污染您的捕获。

tcpdump -ni eth0 not port 22
tcpdump -ni eth0 not host ip.of.the.sshclient
tcpdump -ni eth0 not host ip.of.the.sshclient and not port 22