Estou usando o tcpdump há cerca de um mês e, recentemente, ele parou de capturar todos os pacotes que não foram enviados para ou do computador que está executando o tcpdump. Eu limpei meu comando para apenas:
sudo tcpdump -i en2
Eu verifiquei minhas interfaces com ifconfig e en2 está no modo "PROMISC". Ao especificar um host específico como um filtro, vejo apenas algumas mensagens de "arp", mas nada comparado com o que realmente está acontecendo na rede. Eu estou trabalhando sob um roteador Westell 7500. Aqui está um exemplo da saída tcpdump para o comando acima, com "host 192.168.1.30" (outro host na minha rede) anexado a ele para filtrar meu próprio tráfego.
listening on en2, link-type EN10MB (Ethernet), capture size 65535 bytes
21:16:19.968786 ARP, Request who-has 192.168.1.30 tell dslrouter.westell.com, length 46
21:16:41.471548 ARP, Request who-has 192.168.1.30 tell dslrouter.westell.com, length 46
21:16:42.395101 ARP, Request who-has 192.168.1.30 tell dslrouter.westell.com, length 46
3 packets captured
127 packets received by filter
0 packets dropped by kernel
Eu recebo a maioria dos pacotes filtrados mesmo quando eu não incluo o filtro do host. Estou ciente de que talvez minha rede tenha mudado de um "hub" para um tipo de roteador "comutador". Se este for o caso, alguém poderia me ajudar a configurar um espelho de porta ou pelo menos me apontar na direção certa para que eu possa sempre ver tudo o que está acontecendo na minha LAN?
Obrigado uma tonelada.
Um roteador ou um switch não enviará todo o tráfego para todas as portas por padrão. Você precisa de um hub ou de garantir que seu equipamento de rede possa espelhar o tráfego para uma porta. (às vezes chamado de espelhamento, às vezes chamado de porta do monitor e alguns outros nomes) Basicamente, o tráfego de rede (exceto para transmissões) não está chegando ao seu computador.
Tags ip tcpdump sniffing home-networking