Chinaunix

标题: tcpdump无数据显示 [打印本页]

---

作者: fangjiafu    时间: 2009-08-05 15:55
标题: tcpdump无数据显示
[root@JinSili-AAA+IBS ~]# tcpdump   host 222.****
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
然后就没有任何数据，是什么原因？
谢谢各位，这个机器事一个日志机，我一直在向里面注入数据以保证，有数据，作为抓包学习！
谢谢！

---

作者: platinum    时间: 2009-08-05 17:28
网口对吗？有关于 222.**** 的 IP 通过吗？
如果用是 eth0 接口，且 tcpdump -n 也没有数据，那就不是 tcpdump 的用法问题了

---

作者: fangjiafu    时间: 2009-08-05 18:20
标题: 回复 #2 platinum 的帖子
[root@ ]# tcpdump -n  -i eth0 host 222.****
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
18:21:16.464996 arp who-has 222.****** tell 222.*********

1 packets captured
1 packets received by filter
0 packets dropped by kernel
只有这么一个arp包，iptables是关闭掉的。
[root@ ]# uname -a
Linux JinSili-AAA+IBS 2.6.9-42.0.10.ELsmp #1 SMP Tue Feb 27 10:11:19 EST 2007 i686 i686 i386 GNU/Linux
[root@ ]# lsb_release -a
LSB Version:    :core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch
Distributor ID: CentOS
Description:    CentOS release 4.4 (Final)
Release:        4.4
Codename:       Final
我使用的系统安装的时候，默认带的tcpdump，应该与这个没有关系吧。

---

作者: fangjiafu    时间: 2009-08-05 18:22
交换机没有做任何限制，以及策略！

---

作者: fangjiafu    时间: 2009-08-05 18:24
Aug  5 18:18:23 JinSili-AAA+IBS kernel: eth0: Promiscuous mode enabled.
Aug  5 18:18:23 JinSili-AAA+IBS kernel: device eth0 entered promiscuous mode
Aug  5 18:18:48 JinSili-AAA+IBS kernel: device eth0 left promiscuous mode
Aug  5 18:20:31 JinSili-AAA+IBS kernel: eth0: Promiscuous mode enabled.
Aug  5 18:20:31 JinSili-AAA+IBS kernel: device eth0 entered promiscuous mode
Aug  5 18:20:33 JinSili-AAA+IBS kernel: device eth0 left promiscuous mode
Aug  5 18:20:37 JinSili-AAA+IBS kernel: eth0: Promiscuous mode enabled.
Aug  5 18:20:37 JinSili-AAA+IBS kernel: device eth0 entered promiscuous mode
Aug  5 18:20:44 JinSili-AAA+IBS kernel: device eth0 left promiscuous mode
Aug  5 18:20:49 JinSili-AAA+IBS kernel: eth0: Promiscuous mode enabled.
Aug  5 18:20:49 JinSili-AAA+IBS kernel: device eth0 entered promiscuous mode
Aug  5 18:21:32 JinSili-AAA+IBS kernel: device eth0 left promiscuous mode

---

作者: platinum    时间: 2009-08-05 20:21
你确认有 222.*** 的 IP 出现在网络中吗？
如果没有，那当然抓不到包了
你用 tcpdump -n  -i eth0 直接抓一下所有数据试试，看能抓到什么 IP
然后用 tcpdump -n  -i eth0 host IP 来抓你之前看到的 IP 再试试
我感觉这是一个低级错误

---

作者: fangjiafu    时间: 2009-08-05 21:30
标题: 回复 #6 platinum 的帖子
我确认有这个ip，因为这是2台同样配置的机器，我均可远程登陆，这两台机器在同一局域网中，我用syslog的远程，和开放了ftp，telnet进行测试。均没有效果，
[root@Yuexiu-AAAback ~]# ping 222.128.****
PING  56(84) bytes of data.
64 bytes from 222.128. : icmp_seq=0 ttl=61 time=2.21 ms
64 bytes from 222.128. : icmp_seq=1 ttl=61 time=1.35 ms

---  ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 1.355/1.786/2.218/0.433 ms, pipe 2
[root@Yuexiu-AAAback ~]# telnet 222.128.
Trying 222.128.
Connected to 222.128.
Escape character is '^]'.
ogin: Lad
Password: ********
     configuration   - Display NSE setup configuration menu
     network info    - Display networking information menu
     port-location   - Display port-location mapping menu
     subscribers     - Display subscriber management menu
     system          - Display advanced system configuration menu

     logout          - End command line interface session
Telnet session closing
Connection closed by foreign host.

[root@Jinrongjie-AAA+IBS ~]# tcpdump -n -i eth0 host 222.128  and port 23
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

无任何数据，我换了很多台机器发现是同样的问题，不知道哪里做错了，麻烦各位指点一下！

---

作者: platinum    时间: 2009-08-05 22:30
我知道你的网络里有 222 那个 IP
我也知道呢和 222 这个 IP 之间可以通信
但你能保证在抓包的时候 222 这个 IP 会出现吗？
你为什么不先排除一下是 tcpdump 的用法问题还是 tcpdump 本身的问题呢？！
你为什么就不试一下抓所有的包呢？！

感觉和你沟通太累了！

---

作者: fangjiafu    时间: 2009-08-05 22:41
标题: 回复 #8 platinum 的帖子
不好意思，本人初学，还麻烦你，多指教。
我抓包结果简单呈现出来，
[root@Jinrongjie-AAA+IBS ~]# tcpdump -n -i eth0  
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
22:25:13.593095 00:0f:e2:40:47:5b > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  1901 0000 0000 0000 0000 0000 0000 0000  ................
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
22:25:16.546356 00:0f:e2:40:4f:9f > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  1901 0000 0000 0000 0000 0000 0000 0000  ................
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
22:25:17.574177 arp who-has 222.128.  tell 222.128.
22:25:21.099292 00:0f:e2:40:47:60 > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  1801 0000 0000 0000 0000 0000 0000 0000  ................
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
22:25:22.390007 00:0f:e2:30:db:20 > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  000f e230 db20 0000 0013 0000 0000 0044  ...0...........D
        0x0010:  4444 5555 5555 007b 6666 6666 6666 7777  DDUUUU.{ffffffww
        0x0020:  7777 7777 8888 8888 8888 9999 9999       wwww..........
22:25:26.979935 00:e0:fc:09:bc:f9 > 01:80:c2:00:00:0a, ethertype Unknown (0x88a7), length 153:
        0x0000:  0003 0000 01b4 8bbe 0001 000e 0000 0000  ................
        0x0010:  000f e230 db20 0007 0012 5175 6964 7761  ...0......Quidwa
        0x0020:  7920 5333 3532 3847 000e 000b 3030 3235  y.S3528G....0025
        0x0030:  5030 3300 1100 1756 3130 3052 3030 3142  P03....V100R001B
        0x0040:  3132 4430 3230 5350 3031 0010 0007 3230  12D020SP01....20
        0x0050:  3200                                     2.
22:25:27.618420 00:0f:e2:40:47:45 > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  1901 0000 0000 0000 0000 0000 0000 0000  ................
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
22:25:32.376416 00:0f:e2:40:47:62 > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  1901 0000 0000 0000 0000 0000 0000 0000  ................
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
22:25:32.439633 00:0f:e2:40:4f:a2 > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  1901 0000 0000 0000 0000 0000 0000 0000  ................
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............

9 packets captured
9 packets received by filter
0 packets dropped by kernel
[root@Jinrongjie-AAA+IBS ~]#

---

作者: fangjiafu    时间: 2009-08-05 22:42
tcpdump使用还有什么环境要求吗？不是可以像windows下sniffer那样随意监控整个局域网吗？

---

作者: gaokai    时间: 2009-08-06 01:25

原帖由 fangjiafu 于 2009-8-5 22:42 发表
tcpdump使用还有什么环境要求吗？不是可以像windows下sniffer那样随意监控整个局域网吗？

作为测试，你可以同时打开两个登录。一边看tcpdump的输出，一边用telnet等沟通，确保抓包的时间段内有数据流。或者直接tcpdump ..... -w 文件 -c 100，抓随后的100个包，然后来读。其他方面应该不用怀疑。

---

作者: fangjiafu    时间: 2009-08-06 11:22
标题: 回复 #11 gaokai 的帖子
我用tcpdump -n -i eth0有数据，但是我怎么没有看见我telnet到目标机器的日志记录呢，记录的全部如下：我怎么判断，有没有telnet，如果有telnet记录上面应该有显示吧。
[root@Jinrongjie-AAA+IBS ~]# tcpdump -n -i eth0    -s 0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:02:25.094899 00:0f:e2:40:4f:a4 > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  1901 0000 0000 0000 0000 0000 0000 0000  ................
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
11:02:25.385077 00:0f:e2:40:4f:9f > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  1901 0000 0000 0000 0000 0000 0000 0000  ................
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
11:02:26.940908 00:0f:e2:40:47:5b > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  1901 0000 0000 0000 0000 0000 0000 0000  ................
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
11:02:35.465675 00:0f:e2:40:47:45 > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  1901 0000 0000 0000 0000 0000 0000 0000  ................
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
11:02:39.394423 00:0f:e2:40:47:62 > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  1901 0000 0000 0000 0000 0000 0000 0000  ................
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
11:02:42.097195 00:e0:fc:09:bc:f9 > 01:80:c2:00:00:0a, ethertype Unknown (0x88a7), length 153:
        0x0000:  0003 0000 01b4 8bbe 0001 000e 0000 0000  ................
        0x0010:  000f e230 db20 0007 0012 5175 6964 7761  ...0......Quidwa
        0x0020:  7920 5333 3532 3847 000e 000b 3030 3235  y.S3528G....0025
        0x0030:  5030 3300 1100 1756 3130 3052 3030 3142  P03....V100R001B
        0x0040:  3132 4430 3230 5350 3031 0010 0007 3230  12D020SP01....20
        0x0050:  3200 0c00 1410 0000 0000 0000 0000 0000  2...............
        0x0060:  0000 0000 0000 0300 104a 524a 4759 2d53  .........JRJGY-S
        0x0070:  3335 3238 4700 0200 1045 7468 6572 6e65  3528G....Etherne
        0x0080:  7430 2f32 3000 0b00 0600 03              t0/20......
11:02:43.720043 00:0f:e2:40:47:93 > Broadcast, ethertype Unknown (0x9001), length 60:
        0x0000:  1901 0000 0000 0000 0000 0000 0000 0000  ................
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............

7 packets captured

在这个时间内，我多次telnet主机，同时正确输入密码，以及登陆。
我应该怎么查看？

---

作者: fangjiafu    时间: 2009-08-06 11:23
标题: 回复 #8 platinum 的帖子
麻烦指点一下！谢谢！

---

作者: platinum    时间: 2009-08-06 11:29
不解了
不会不是 eth0 吧？！

---

作者: fangjiafu    时间: 2009-08-06 13:42
标题: 回复 #14 platinum 的帖子
机器确实是双网卡，可是确实是eth0，不知道陷入那个怪圈了。

---

作者: fangjiafu    时间: 2009-08-06 13:43
标题: 回复 #14 platinum 的帖子
我用ethereal也是这样情况，从外网telnet到这个机器的数据一点都没有。
不知道是什么原因

---

作者: platinum    时间: 2009-08-06 15:36
贴 "ip r" 的结果和 "ifconfig -a" 的结果看一下

---

作者: gaokai    时间: 2009-08-06 18:26
路上一支琢磨这事儿，的确没有道理。请重新检查所有过程。确定登陆的会话中服务器的网卡，试图抓所有界面的23端口，检查每个细节。期待答案。

---

作者: fangjiafu    时间: 2009-08-07 09:17
标题: 回复 #17 platinum 的帖子
[root@Jinrongjie-AAA+IBS ~]# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:14:5E:CD:66:0A
          inet addr:222.128.   Bcast:222.128.   Mask:255.255.255.0
          inet6 addr: fe80::214:5eff:fecd:660a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5097025 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3805769 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:667379472 (636.4 MiB)  TX bytes:1055651500 (1006.7 MiB)
          Interrupt:169

eth1      Link encap:Ethernet  HWaddr 00:14:5E:CD:66:0B
          inet addr:10.10.233.253  Bcast:10.255.255.255  Mask:255.0.0.0
          inet6 addr: fe80::214:5eff:fecd:660b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1666426 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2543 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:106660048 (101.7 MiB)  TX bytes:168669 (164.7 KiB)
          Interrupt:177

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:15309053 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15309053 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:20680998 (19.7 MiB)  TX bytes:20680998 (19.7 MiB)

sit0      Link encap:IPv6-in-IPv4
          NOARP  MTU:1480  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

---

作者: fangjiafu    时间: 2009-08-07 09:19
标题: 回复 #17 platinum 的帖子
[root@Jinrongjie-AAA+IBS ~]# ip r
222.128. /24 dev eth0  proto kernel  scope link  src 222.128.
169.254.0.0/16 dev eth1  scope link
10.0.0.0/8 dev eth1  proto kernel  scope link  src 10.10.233.253
default via 222.128. dev eth0

---

作者: platinum    时间: 2009-08-07 09:32
真的怪了
不会被 ARP 欺骗了吧，client 看似和你的 server 通信，而实际上被欺骗到别的地方了
因此 server 也只能抓到一些广播包和 ARP 包
也只有这个解释了

---

作者: xbule    时间: 2009-08-07 12:49
tcpdump -i eth2 src host 192.168.3.28 -s 0 -w 20090807.pcap
如题：
192.168.3.28有数据写入。
192.168.3.28和你运行tcpdump机器在一个网段，且在同一个HUB上或者交换机镜像数据到运行tcpdump的机器，方可抓包。
Hub是广播消息

---

作者: fangjiafu    时间: 2009-08-07 18:08

原帖由 xbule 于 2009-8-7 12:49 发表
tcpdump -i eth2 src host 192.168.3.28 -s 0 -w 20090807.pcap
如题：
192.168.3.28有数据写入。
192.168.3.28和你运行tcpdump机器在一个网段，且在同一个HUB上或者交换机镜像数据到运行tcpdump的机器，方可 ...

我是在同一个交换机的vlan中，没有镜像，这样的原因吗？

---

作者: honckly    时间: 2009-08-08 00:03

原帖由 fangjiafu 于 2009-8-5 22:42 发表
tcpdump使用还有什么环境要求吗？不是可以像windows下sniffer那样随意监控整个局域网吗？

没有要求，windows有windows的版本。。。

---

作者: platinum    时间: 2009-08-08 20:19

原帖由 fangjiafu 于 2009-8-5 22:42 发表
tcpdump使用还有什么环境要求吗？不是可以像windows下sniffer那样随意监控整个局域网吗？

不是你想监视就监视的！
你要保证你所监视的数据包可以流入到你用于监视的网口！
我说过这是一个低级问题！

---

作者: gaokai    时间: 2009-08-08 22:31

原帖由 fangjiafu 于 2009-8-5 22:42 发表
tcpdump使用还有什么环境要求吗？不是可以像windows下sniffer那样随意监控整个局域网吗？

关注中，重新看了一下头一页，莫非你不是在被telnet,ssh登录的主机上抓包？难道是你在同一个交换机内的其他机器上抓另一台机器的包？因为你的ip都省略了后一部分，所以也没细看。如果是Hub，能抓到。如果是交换机，需要在交换机上配置span端口，将交换机上的所有数据流拷贝到该端口。希望不是这个原因。

[ 本帖最后由 gaokai 于 2009-8-8 22:34 编辑 ]

---

作者: zerotog    时间: 2009-08-09 10:20

原帖由 fangjiafu 于 2009-8-5 22:42 发表
tcpdump使用还有什么环境要求吗？不是可以像windows下sniffer那样随意监控整个局域网吗？

如果你在主机A上运行tcpdump,并且你的主机A是连接到交换机上的，那么你只能抓到和你主机A通信的所有数据包，以及一些同一局域网内的广播包;同一局域网内不是和主机A通信的数据包，及非广播包你是不能用tcpdump抓到的

---

作者: fjsh89    时间: 2009-08-09 23:13
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: fangjiafu    时间: 2009-08-10 08:53
标题: 回复 #25 platinum 的帖子
谢谢！ 各位，应该是各位说的那样，可能是我交换机那边设置的问题吧，我设置了vlan，在同一个vlan 下想用A机器，监控B机器所有的数据交互（与任何机器），这种情况在交换机下是需要做镜像？HUB下就不存在这个问题？

---

作者: hyagami    时间: 2009-08-10 10:56

原帖由 fangjiafu 于 2009-8-10 08:53 发表
谢谢！ 各位，应该是各位说的那样，可能是我交换机那边设置的问题吧，我设置了vlan，在同一个vlan 下想用A机器，监控B机器所有的数据交互（与任何机器），这种情况在交换机下是需要做镜像？HUB下就不存在这个问题？

lz还是先了解下抓包的环境吧，这样看不到数据包也不奇怪了，交换机下需要做镜像的，HUB下是广播，所以不需要

---

作者: hyagami    时间: 2009-08-10 10:59
原因看看25.27楼的

---

作者: fangjiafu    时间: 2009-08-10 11:19
标题: 回复 #30 hyagami 的帖子
谢谢！我明白大家说的意思了，监控有2种
1、镜像数据，
2、hub这种广播包的环境。交换机已经不存在hub的这个问题了，所以才出现我现在的这个问题。

非常感谢大家！本人愚笨！

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2