Понимание вывода tcpdump на роутере linux

0

Мой маршрутизатор имеет atm0интерфейс и интерфейс VLAN ( atm0.1), atm0.1имеет IP-адрес WAN.

При использовании tcpdump -i atm0перехваченные пакеты являются только исходящими пакетами (LAN to WAN).

05:34:19.504895 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29184, length 40
05:34:20.506885 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29440, length 40
05:34:21.507868 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29696, length 40

При использовании tcpdump -i atm0.1захваченные пакеты включают в себя как исходящие, так и входящие пакеты.

05:36:33.517705 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30208, length 40
05:36:33.827969 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30208, length 40
05:36:34.519715 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30464, length 40
05:36:34.685847 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30464, length 40
05:36:35.521643 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30720, length 40
05:36:35.679061 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30720, length 40

Почему?

Версия для Linux - 2.6.30, драйвер atm от broadcom.

linux  networking  ip  tcpdump 
Эрик
источник
@Eric, мне жаль тех, кто все еще привязан к хосту, подключенному к банкомату . Что вы сделали с технологическими богами, чтобы заслужить это?
Майк Пеннингтон
@Mike: Что конкретно относится к Unix по этому вопросу? Это похоже на общий вопрос IP-сети для меня.
Жиль
@ Жиль, его вопрос был помечен linux-kernelна StackOverflow; проблема в том, что tcpdump on atm0показывает только исходящие PDU вместо того, чтобы видеть двунаправленный трафик, когда он прослушивает VC ( atm0.1). С точки зрения чистой IP-сети, он должен видеть двунаправленный трафик при сниффинге atm0. Я подозреваю, что это как-то связано с тем, как libpcapчитает драйвер, но это не то, в чем я разбираюсь
Майк Пеннингтон,
@Mike: Ах хорошо. @Eric: На какой ОС работает ваш роутер (если Linux, какой дистрибутив, например, OpenWRT, CentOS и т. Д. И какая версия)? Какая версия ядра ( uname -srv)?
Жиль
@eric, в дополнение к запросу Жиля ... какой конкретный сетевой адаптер и драйвер вы используете? От имени пользователя root выполните lsmodи lspci | grep -i atmдобавьте это в свой пост
Майк Пеннингтон,

Ответы:

1

Это не редкость. Точка, в которой libpcap устанавливает перехват для перехвата сетевого трафика, не всегда может быть подходящей для захвата всего трафика. В конце концов, виртуальные интерфейсы - это просто набор функций, обычно оптимизированных для скорости, а не для создания точной копии физического интерфейса. Асимметричный захват трафика может происходить с vlans, интерфейсами tun / tap и мостами. Всегда пытайтесь захватывать в случайном режиме или нормальном режиме.

Federico
источник
0

Это происходит потому, что путь трафика:

application -> atm0 -> atm0.1 -> destination
destination -> atm0.1 -> application
@cnicutar, ваш ответ не имеет смысла с точки зрения банкомата. Фырканье atm0должно видеть atm0.1движение точно так же, как моя способность видеть трафик vlan12@eth0 , нюхая eth0(и я делаю это почти каждый день)
Майк Пеннингтон
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.