Compreendendo a saída do tcpdump em um roteador linux

0

Meu roteador tem uma interface atm0 e uma interface VLAN ( atm0.1 ), atm0.1 tem o endereço IP da WAN.

Ao usar tcpdump -i atm0 , os pacotes capturados são apenas pacotes de saída (LAN para WAN).

05:34:19.504895 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29184, length 40
05:34:20.506885 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29440, length 40
05:34:21.507868 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29696, length 40

Ao usar tcpdump -i atm0.1 , os pacotes capturados incluem pacotes de saída e pacotes de entrada.

05:36:33.517705 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30208, length 40
05:36:33.827969 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30208, length 40
05:36:34.519715 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30464, length 40
05:36:34.685847 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30464, length 40
05:36:35.521643 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30720, length 40
05:36:35.679061 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30720, length 40

Por quê?

a versão linux é 2.6.30, o driver atm é da broadcom.

    
por Eric 03.06.2011 / 10:49

2 respostas

1

Isso não é incomum. O ponto em que a libpcap configura um gancho para interceptar o tráfego de rede pode não ser sempre o caminho certo para capturar todo o tráfego. Afinal, as interfaces virtuais são apenas um conjunto de funções - geralmente otimizadas para velocidade - para não criar uma réplica perfeita de uma interface física. Captura de tráfego assimétrica pode acontecer com vlans, tun / tap interfaces e bridges. Sempre tente capturar em modo promíscuo ou modo normal.

    
por 03.06.2011 / 10:55
0

Isso está acontecendo porque o caminho do tráfego é:

application -> atm0 -> atm0.1 -> destination
destination -> atm0.1 -> application
    
por 03.06.2011 / 10:58