Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Petya Kohts ([info]nit)
@ 2016-10-04 18:07:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение:working
Музыка:t.A.T.u. - Waste Management

tcpdump smpp filter submit_sm submit_sm_resp
Few commands to match SMPP data stream written into a file
(collected with tcpdump -ni bond2 -U -w %Y%m%d-%s.pcap -G 600 port 5700)


submit_sm
tcpdump -r 20160930-1475207678.pcap -tt 'tcp[2:2] = 5700 && (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0) && tcp[(((tcp[12:1] & 0xf0) >> 2) + 4):4] = 0x00000004'

Select only:
* tcp[2:2] = 5700 - outgoing streams (destination port 5700)
* (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0) - where there's some tcp data in the packet
* tcp[(((tcp[12:1] & 0xf0) >> 2) + 4):4] = 0x00000004 - SMPP command id is SUBMIT_SM


submit_sm_resp (OK)
tcpdump -r 20160930-1475207678.pcap -tt 'tcp[0:2] = 5700 && (tcp[12:1]&0xf0)>>2 = 32 && (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0) && tcp[(((tcp[12:1] & 0xf0) >> 2) + 4):4] = 0x80000004 && tcp[(((tcp[12:1] & 0xf0) >> 2) + 8):4] = 0x00000000'

Select only:
* tcp[0:2] = 5700 - incoming streams (soucre port 5700)
* (tcp[12:1]&0xf0)>>2 = 32 - length of tcp packet is 32 bytes (might be excessive limitation, but is true in my case
* (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0) - there's tcp data
* tcp[(((tcp[12:1] & 0xf0) >> 2) + 4):4] = 0x80000004 - SMPP command id is SUBMIT_SM_RESP
* tcp[(((tcp[12:1] & 0xf0) >> 2) + 8):4] - command status is 0 (OK)


Links:
* Tutorial by Sebastien Wains
* RFC 793
* SMPP 3.4 protocol specification



(Добавить комментарий)


[info]mcm
2016-10-04 20:31 (ссылка)
ага, а потом окно съезжает и все суперфильтры идут по пизде

(Ответить) (Ветвь дискуссии)


[info]nit
2016-10-04 20:36 (ссылка)
можешь подробней? о каком именно окне речь?


(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]mcm
2016-10-05 00:17 (ссылка)
TCP это поток байт, то что при небольшом трафике (или при синхронном режиме SMPP) случается так, что начало SMPP PDU оказывается в начале TCP сегмента - в данном случае просто везение.

это ещё не начиная говорить о фрагментации на уровне IP и других прелестях.

как посоветовали ниже - wireshark рулит, только его надо подпереть сокровенным знанием что на нужном TCP порту у вас SMPP, иначе он и это может проебать.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]nit
2016-10-05 00:58 (ссылка)
я приблизительно понял мысль, спасибо

хорошо, однако, что в моем конкретном случае работает,
потому что tcpdump везде стоит, а wireshark надо доставлять

(Ответить) (Уровень выше)


[info]zim
2016-10-04 22:29 (ссылка)
на вайршарке сделать же проще
там даже примеры есть готовые
и кажеца есть декодер и вьювер лоло

(Ответить) (Ветвь дискуссии)


[info]nit
2016-10-04 23:17 (ссылка)
спасибо, я погляжу

(Ответить) (Уровень выше)


[info]nit
2016-10-05 15:16 (ссылка)
Much easier and cleaner solution:
https://ask.wireshark.org/questions/20589/use-tshark-to-get-smpp-operations-results

tshark -nr input.pcap -q -z smpp_commands,tree

(Ответить) (Ветвь дискуссии)


[info]mcm
2016-10-05 20:20 (ссылка)
повторю,

-d tcp.port==5700,smpp

иначе часть пакетов не будет распознана

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]nit
2016-10-06 10:44 (ссылка)
да, спасибо большое, действительно есть небольшая разница:

[x@PPCMMONA801G PPCMINTA806]$ tshark -nr 20161006-1475727617.pcap -q -z smpp_commands,tree

===================================================================
SM_PP Operations value rate percent
-------------------------------------------------------------------
SMPP Operations 80795 0.134660
SMPP Requests 40510 0.067517 50.14%
Submit_sm 39370 0.065617 97.19%
Enquire_link 1140 0.001900 2.81%
SMPP Responses 40285 0.067142 49.86%
Submit_sm - resp 39152 0.065254 97.19%
Enquire_link - resp 1133 0.001888 2.81%
SMPP Response Status 40285 0.067142
Ok 40285 0.067142 100.00%

===================================================================
[x@PPCMMONA801G PPCMINTA806]$ tshark -nr 20161006-1475727617.pcap -q -z smpp_commands,tree -d tcp.port==5700,smpp

===================================================================
SM_PP Operations value rate percent
-------------------------------------------------------------------
SMPP Operations 80829 0.134716
SMPP Requests 40510 0.067517 50.12%
Submit_sm 39370 0.065617 97.19%
Enquire_link 1140 0.001900 2.81%
SMPP Responses 40319 0.067199 49.88%
Submit_sm - resp 39185 0.065309 97.19%
Enquire_link - resp 1134 0.001890 2.81%
SMPP Response Status 40319 0.067199
Ok 40319 0.067199 100.00%

===================================================================

(Ответить) (Уровень выше)


(Анонимно)
2016-11-26 18:43 (ссылка)
Petya! Посоветуйте хороший ноутбук с диагональю от 15". Стоимость не ограничена. В данный момент рассматриваю Dell Precision 5510. Что думаете про ультрабучные процессоры?

(Ответить) (Ветвь дискуссии)


[info]nit
2016-11-26 22:21 (ссылка)
нашли кого спросить

у меня dell latitude e7240 2 года уже,
нормальный аппарат - все на нем получается делать,
шустрый; есть конструктивная проблема - резинка
вокруг экрана отклеивается раз в год,
но у меня бизнес-гарантия, так что приезжают куда нужно
и меняют бесплатно. если бы личный был без удобной гарантии,
расстраивало бы.

до этого были крупненькие fujitsu - тоже ок,
но заметно более тяжелые.

по-моему аппараты от $700-1000 все нормальные,
надо под задачи взять достаточно диска, памяти, процессора -
ну и на вкус, чтобы клавиатура удобная
и цвет красивый. можно пробить по гуглу перед покупкой
dell xxx issues - для особо неудачных моделей
будет заметный шум (по сравнению с другими)

я по цене в основном ориентируюсь,
в моем понимании дешевле $700 нормальных новых аппаратов нет
(в смысле
будет во всем хороший аппарат с каким-нибудь заранее
оговоренным недостатком - типа, например, производитель acer)

(Ответить) (Уровень выше) (Ветвь дискуссии)


(Анонимно)
2016-11-26 23:00 (ссылка)
Вы на ixbt подписаны, поэтому, как минимум в теме

Также спросил мнение пандуро:
http://lj.rossia.org/users/panduro/9829.html?thread=189541#t189541

Workstations Dell мне нравятся, но для меня минус -- металлическое шасси.
ThinkPad нормальных моделей все с графикой NVIDIA -- она с линуксом не дружит, рассматриваю T560 но не уверен в U-серии процессора, т.к. ноут будет основной машиной.

Интересно Ваше мнение по поводу Alienware, Thinkpad t560 и Dell XPS 15.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]nit
2016-11-26 23:16 (ссылка)
мало ли на что я подписан :)
я местную ленту практически не читаю
со времен взятия крыма и бана лжр в рф,
а то и даже раньше, твиттер гораздно удобнее

про linux меня бесполезно спрашивать,
на desktop я его никогда не использовал

процессоры кроме i5/i7 я не признаю, про графику
ничего не знаю, сто лет в современные игры не играл
(к сожалению, но такова жизнь)

в общем, ваши вопросы не по адресу, пардон

(Ответить) (Уровень выше) (Ветвь дискуссии)


(Анонимно)
2016-11-26 23:28 (ссылка)
ве равно спасибо за ответ. извините что побеспокоил.

(Ответить) (Уровень выше)