tcpdump mostra o tráfego até que eu use um filtro

5

Eu tenho um servidor que está recebendo tráfego de uma porta espelhada em um switch. A interface que está conectada a essa porta de espelhamento está no modo promisc. Quando eu uso apenas um simples capturar todos os tcpdump na interface, como

tcpdump -nn -i eth1

Eu vejo uma tonelada de tráfego. Eu posso até mesmo fazer isso para certas coisas como, por exemplo, a porta 443.

tcpdump -nn -i eth1 | grep 443

obviamente, isso mostra qualquer coisa que tenha um 443, não apenas a porta 443. Eu inspecionei visualmente e vejo coisas assim:

15:08:08.112550 IP 12.34.56.78.1430 > 87.65.43.21.443: . ack 35124 win 32768

Mas eu quero apenas a porta 443, então ...

tcpdump -nn -i eth1 port 443
...
0 packets captured

Estranho. Não vejo nenhum tráfego quando uso um filtro. Eu tentei "ip port", "dst port" e alguns outros filtros. Eu também tentei filtrar pelo IP em vez de porta. Nada.

eth1      Link encap:Ethernet  HWaddr 00:24:81:A5:AD:7A  
          inet6 addr: fe80::224:81ff:fea5:ad7a/64 Scope:Link
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:4114781478 errors:0 dropped:1 overruns:0 frame:0
          TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2240970313430 (2.0 TiB)  TX bytes:15155497 (14.4 MiB)
          Interrupt:98 Memory:fa000000-fa012800 

Esta interface viu uma tonelada de tráfego. E meu filtro é válido, certo? Por que eu não vejo nada?

    
por MichaelB 21.02.2013 / 16:16

1 resposta

6

Um possível motivo é que o tcpdump recebeu um pacote que é encapsulado em outro protocolo ou um quadro que, por exemplo, foi marcado com um ID de VLAN.

Você não vê isso na saída de tcpdump , pois não especificou nenhum argumento de verbosidade, mas seu filtro não corresponde, pois seu port 443 implicaria, basicamente, not vlan and (proto tcp or proto udp) and port 443 .

Você também pode verificar isso despejando o quadro em hexadecimal usando -xx e analisando os dados do quadro. Se você conhece o VID em questão, basta adicionar and vlan <VID> ao seu filtro para obter os pacotes capturados.

    
por 21.02.2013 / 16:38

Tags