tcpdump congela e não captura corretamente sem conexão com a internet

2

Quando não tenho nenhuma conexão à internet e quero capturar a rede entre computadores locais, o tcpdump age assim:

1. Inicio o tcpdump usando o seguinte comando:

tcpdump -ixenbr0

2.Depois de executá-lo, o tcpdump fica no modo congelar por cerca de 1-2 minutos, depois ele captura alguns pacotes e novamente congela, e novamente captura alguns e mesmo acontecem repetidamente.

Eu não consigo nem sair do tcpdump com ctrl + c ou até mesmo matar o processo tcpdump usando o comando killall tcpdump .

Eu tenho esse problema em todos os computadores da rede, não apenas um.

Mas quando eu conecto rede à internet, o tcpdump funciona muito bem. Tudo está bem com conexão à internet. Parece muito estranho para mim.

Eu também tentei -l, mas sem sorte.

Estou usando o Ubuntu 14.04. A versão do Tcpdump é 4.5.1.

Alguém tem alguma ideia do que está errado?

    
por Michel Gokan 10.06.2015 / 09:13

1 resposta

5

When I don't have any internet conncetion

...

tcpdump gets in freeze mode for about 1-2 minutes, after that it captures some packets and again freezes, and again capture some and same happen over and over.

Você está rodando sem -w , então, ao invés de apenas gravar dados brutos de pacotes em um arquivo, ele disseca os pacotes e imprime um resumo deles.

Isso significa que, para pacotes IP, ele tenta informar os endereços IP de origem e destino dos pacotes.

Sem -n , ele tenta encontrar o nome do host correspondente ao endereço, o que significa que, a menos que o endereço esteja no arquivo de hosts, ele tentará usar o DNS para encontrar o nome. Se você não tiver nenhuma conexão com a Internet, mas o resolvedor de DNS local achar que deve pesquisar os servidores DNS da Internet, ele tentará entrar em contato com esses servidores e aguardar uma resposta ou um tempo limite. Não terá resposta, então terá que esperar pelo tempo limite.

Uma vez que o tempo limite ocorre, é dito "Eu não tenho um nome de host para esse endereço", e apenas imprime informações de pacotes, mostrando o endereço numericamente. Então, quando o próximo pacote chegar, se ele tiver um endereço IP, a mesma coisa acontece.

-n desativa procurar o nome dos endereços IP, portanto, não há tempos limite.

    
por 10.06.2015 / 12:10