tcpdump captura o tráfego UDP em toda a rede, mas não o TCP

Question

tcpdump captura o tráfego UDP em toda a rede, mas não o TCP

#1 resposta do (3 votos)
#2 resposta do (1 votos)

1

Ao observar o tráfego com sudo tcpdump udp , ele se comporta como deveria: Eu posso ver todo o tráfego que está acontecendo na rede, mesmo quando a máquina que estou usando não está envolvida.

No entanto, ao emitir o comando sudo tcpdump tcp , estou apenas vendo o tráfego no qual não estou envolvido: Pacotes que estão sendo transferidos entre duas outras máquinas não são visíveis.

Li sobre as redes comutadas , mas, no meu entender, não consigo ver o tráfego UDP se este for o caso.

Estou usando o Ubuntu 14.04.1 LTS como meu sistema operacional.

O que me impede de rastrear o tráfego TCP?

Tráfego UDP rastreado:

00:35:58.813682 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:58.815133 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:58.998898 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:58.999134 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.201377 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.201968 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.370964 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.371582 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.553621 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.554164 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.717320 IP ubuntuserver.fritz.box.42149 > fritz.box.domain: 32553+ PTR? 255.178.168.192.in-addr.arpa. (46)
00:35:59.718072 IP fritz.box.domain > ubuntuserver.fritz.box.42149: 32553 NXDomain* 0/1/0 (106)
00:35:59.718241 IP ubuntuserver.fritz.box.49986 > fritz.box.domain: 41172+ PTR? 22.178.168.192.in-addr.arpa. (45)
00:35:59.719231 IP fritz.box.domain > ubuntuserver.fritz.box.49986: 41172* 1/1/3 PTR JanBerktold.fritz.box. (166)
00:35:59.719395 IP ubuntuserver.fritz.box.50904 > fritz.box.domain: 53292+ PTR? 21.178.168.192.in-addr.arpa. (45)
00:35:59.720181 IP fritz.box.domain > ubuntuserver.fritz.box.50904: 53292* 1/1/3 PTR JanBerktold.fritz.box. (166)
00:35:59.752634 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.752871 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.926701 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.926919 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.143513 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.144083 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.349315 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.365001 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.552357 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.552778 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.721407 IP ubuntuserver.fritz.box.38326 > fritz.box.domain: 11041+ PTR? 1.178.168.192.in-addr.arpa. (44)
00:36:00.722244 IP fritz.box.domain > ubuntuserver.fritz.box.38326: 11041* 1/1/3 PTR fritz.box. (153)
00:36:00.722371 IP ubuntuserver.fritz.box.43901 > fritz.box.domain: 36201+ PTR? 34.178.168.192.in-addr.arpa. (45)
00:36:00.723199 IP fritz.box.domain > ubuntuserver.fritz.box.43901: 36201* 1/1/3 PTR ubuntuserver.fritz.box. (167)
00:36:00.767687 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.768093 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.979263 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.979480 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:01.188186 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:01.188592 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:01.401442 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
-- LOT MORE OF THESE --

Nota: o ubuntuserver é a máquina de rastreamento e o Janberktold, um desktop Win8.

Até agora, eu pensei que o endereço 192.168.178.255 é o roteador, no entanto, que aparece para o endereço de broadcast. Acho que isso resolve o problema: na verdade, estou em uma rede comutada.

tcpdump udp tcp

por Jan Berktold 12.04.2015 / 23:47

2 respostas

1

É provável que esse tráfego seja de transmissão, quais são a origem e os destinos do tráfego que você está vendo?

por 13.04.2015 / 00:32

Tags tcpdump udp tcp

Não é possível usar find -print no AWK O Xming não será iniciado se for executado como superusuário

score 3 · Accepted Answer

Existem duas possibilidades para isso.

Você está vendo o tráfego de difusão UDP.
Você está vendo o tráfego UDP entre dois sistemas remotos. Você está correto em que um switch isola o tráfego pelo endereço MAC. No entanto, para isso, é necessário saber quais segmentos segmentam quais endereços MAC. Ele faz isso aprendendo, com base no tráfego. Quando o Switch recebe um pacote, ele pode aprender a interface para o endereço MAC do remetente. Mas quando recebe um pacote para o qual não tem conhecimento do receptor, ele deve encaminhar esse pacote para todas as suas interfaces. Este é (provavelmente) o tráfego que você está vendo em sua máquina.

Você verá o tráfego TCP também, mas provavelmente veria apenas o SYN inicial, a partir desse ponto em diante, o Switch teria aprendido as interfaces para o emissor e o receptor.