o que 'tcpdump -xx' faz no Mac OS X?

2

Eu estava jogando com tcpdump , e notei que, no OS X, a opção -xx faz algo diferente do que a página do manual descreve.

Veja o que a página man diz:

   -x     When parsing and printing, in addition to printing the headers of each packet, print the data of each packet (minus its link level header) in hex.
          The  smaller  of  the entire packet or snaplen bytes will be printed.  Note that this is the entire link-layer packet, so for link layers that pad
          (e.g. Ethernet), the padding bytes will also be printed when the higher layer packet is shorter than the required padding.

   -xx    When parsing and printing, in addition to printing the headers of each packet, print the data of each packet, including its link level header,  in
          hex.

Então, se eu entendi corretamente, -xx me mostraria o cabeçalho ethernet enquanto -x não. Isso é verdade no Linux. No entanto, no OS X, -x mostra o cabeçalho Ethernet enquanto -xx coloca algum lixo extra na frente dele. Como você pode ver, o cabeçalho ethernet 0886 3b60 1d3c 28cf e919 a36d 0800 aparece em -x e -xx , e em -xx ele aparece na linha marcada por 0x0060 e não tenho ideia do que os dados vêm antes disso significa .

Aqui está um exemplo de saída de tcpdump -xx no OS X:

$ sudo tcpdump -Sxx -e -n port 33407
tcpdump: data link type PKTAP
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pktap, link-type PKTAP (Packet Tap), capture size 65535 bytes
11:10:11.177881 28:cf:e9:19:a3:6d > 08:86:3b:60:1d:3c, ethertype IPv4 (0x0800), length 78: 192.168.2.8.49923 > 23.239.3.247.33407: Flags [S], seq 1859065803, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 461417464 ecr 0,sackOK,eol], length 0
    0x0000:  6c00 0000 0100 0000 0100 0000 656e 3000
    0x0010:  0000 0000 0000 0000 0000 0000 0000 0000
    0x0020:  0000 0000 0200 0000 0200 0000 0e00 0000
    0x0030:  0000 0000 4f10 0100 7373 6800 0000 0000
    0x0040:  0000 0000 0000 0000 0000 0000 0000 0000
    0x0050:  0600 0000 ffff ffff 0000 0000 0000 0000
    0x0060:  0000 0000 0000 0000 0000 0000 0886 3b60
    0x0070:  1d3c 28cf e919 a36d 0800 4500 0040 66af
    0x0080:  4000 4006 f572 c0a8 0208 17ef 03f7 c303
    0x0090:  827f 6ecf 17cb 0000 0000 b002 ffff c4d1
    0x00a0:  0000 0204 05b4 0103 0304 0101 080a 1b80
    0x00b0:  abf8 0000 0000 0402 0000

E aqui está uma amostra de saída de tcpdump -x :

$ sudo tcpdump -Sxvv -e -n port 33407
tcpdump: data link type PKTAP
tcpdump: listening on pktap, link-type PKTAP (Packet Tap), capture size 65535 bytes
11:10:48.727138 28:cf:e9:19:a3:6d > 08:86:3b:60:1d:3c, ethertype IPv4 (0x0800), length 102: (tos 0x10, ttl 64, id 25163, offset 0, flags [DF], proto TCP (6), length 88)
    192.168.2.8.49923 > 23.239.3.247.33407: Flags [P.], cksum 0x1126 (correct), seq 1859067461:1859067497, ack 2295673726, win 8192, options [nop,nop,TS val 461454802 ecr 120336925], length 36
    0x0000:  0886 3b60 1d3c 28cf e919 a36d 0800 4510
    0x0010:  0058 624b 4000 4006 f9ae c0a8 0208 17ef
    0x0020:  03f7 c303 827f 6ecf 1e45 88d5 337e 8018
    0x0030:  2000 1126 0000 0101 080a 1b81 3dd2 072c
    0x0040:  321d cdac 025c 44d7 8043 f45e da96 1c0d
    0x0050:  fbf3 de02 c17e 03ef 1014 d6da 506f c0c3
    0x0060:  a405 8cbd fcdc
    
por h__ 03.04.2015 / 21:39

1 resposta

2

Não há um cabeçalho Ethernet no início desses pacotes. O tipo de cabeçalho da camada de link é DLT_PKTAP e é assim que seus cabeçalhos se parecem .

Você terá uma surpresa semelhante se capturar no modo monitor no OS X - ou Linux! - já que os pacotes provavelmente começarão com cabeçalhos de radiotap .

A documentação, e o próprio tcpdump, foram escritos em uma era mais simples, antes de termos camadas de links onde há muitos metadados (como o 802.11 e os metadados para camadas abaixo da camada MAC) e mecanismos para fornecer outros tipos de metadados (como o PKTAP fornece).

O tcpdump talvez deva distinguir entre cabeçalhos de metadados e cabeçalhos de camada de link, o padrão é não mostrar as camadas de metadados com -xx e apenas despejá-las com -xxx , ou algo assim. Você pode querer registrar um bug no o rastreador de problemas do tcpdump . (Provavelmente deveria haver alguma discussão, já que isso seria uma alteração incompatível na saída do tcpdump.)

Como para não obter DLT_PKTAP, tente capturar em uma interface específica, usando o -i flag; O tcpdump no Yosemite usa como padrão a captura em todas as interfaces de rede todas simultaneamente. No Linux, isso pode ser feito capturando na interface "any" - que também não lhe dá cabeçalhos Ethernet, dá-lhe Linux cozinhou cabeçalhos de captura - mas não padrão para a interface "qualquer"; no Yosemite, o padrão é capturar em todas as interfaces simultaneamente.

    
por 04.04.2015 / 00:12