Hohe "Portnummern" mit tcpdump

15/10/2010 - 04:39 von Thomas Bliesener | Report spam
Ich habe den Datenverkehr eines Servers mit tcpdump (Version 3.9.8)
mitgeschnitten und bin dabei auf viele Zeilen gestoßen, die ich nicht
verstehe. Bei einem TCP-Paket bin ich gewohnt, daß auf die IP-Adresse,
abgetrennt durch einen weiteren Punkt, die Portnummer folgt. Bei
etlichen Paketen (3,5 Mio von 28 Mio) fàllt die aber etwas arg hoch aus,
wie zum Beispiel hier:

|13:44:29.040250 IP (tos 0x0, ttl 64, id 25458, offset 0, flags [none], proto TCP (6), length 176) 192.168.1.1.2049 > 192.168.1.3.2164149203: reply ok 124 access [|nfs]

|13:44:29.081847 IP (tos 0x0, ttl 64, id 25528, offset 0, flags [none], proto TCP (6), length 736) 192.168.1.1.2049 > 192.168.1.3.2684354560: reply Unknown rpc response code3554432 684

Weiß jemand, was da passiert?
bli
 

Lesen sie die antworten

#1 Friedemann Stoyan
15/10/2010 - 05:07 | Warnen spam
Thomas Bliesener wrote:

|13:44:29.040250 IP (tos 0x0, ttl 64, id 25458, offset 0, flags [none], proto TCP (6), length 176) 192.168.1.1.2049 > 192.168.1.3.2164149203: reply ok 124 access [|nfs]

|13:44:29.081847 IP (tos 0x0, ttl 64, id 25528, offset 0, flags [none], proto TCP (6), length 736) 192.168.1.1.2049 > 192.168.1.3.2684354560: reply Unknown rpc response code3554432 684

Weiß jemand, was da passiert?



Das ist NFS. Warum tcpdump das so anzeigt kann ich dir nicht sagen. Wireshark
(tshark) zeigt die Portnummern in der bekannten Form an.

mfg Friedemann

Ähnliche fragen