Meu roteador tem uma interface atm0 e uma interface VLAN ( atm0.1 ), atm0.1 tem o endereço IP da WAN.
Ao usar tcpdump -i atm0 , os pacotes capturados são apenas pacotes de saída (LAN para WAN).
05:34:19.504895 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29184, length 40
05:34:20.506885 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29440, length 40
05:34:21.507868 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29696, length 40
Ao usar tcpdump -i atm0.1 , os pacotes capturados incluem pacotes de saída e pacotes de entrada.
05:36:33.517705 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30208, length 40
05:36:33.827969 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30208, length 40
05:36:34.519715 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30464, length 40
05:36:34.685847 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30464, length 40
05:36:35.521643 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30720, length 40
05:36:35.679061 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30720, length 40
Por quê?
a versão linux é 2.6.30, o driver atm é da broadcom.
Isso não é incomum. O ponto em que a libpcap configura um gancho para interceptar o tráfego de rede pode não ser sempre o caminho certo para capturar todo o tráfego. Afinal, as interfaces virtuais são apenas um conjunto de funções - geralmente otimizadas para velocidade - para não criar uma réplica perfeita de uma interface física. Captura de tráfego assimétrica pode acontecer com vlans, tun / tap interfaces e bridges. Sempre tente capturar em modo promíscuo ou modo normal.
Isso está acontecendo porque o caminho do tráfego é:
application -> atm0 -> atm0.1 -> destination
destination -> atm0.1 -> application
Tags networking ip tcpdump linux