求助，tcpdump抓不到包

coralonland

环境：
    Board1与Board2完全一样，板上均有一个Switch和CPU，且两者在板上是直连的。

    Board1与Board2可以互相ping通；
    Board1发送组播包，Board2可以接收到，tcpdump也可以抓到。

问题：
    Board2发送组播包，Board1的CPU却无法接收到，ifconfig时rx和drop都没有变化，且tcpdump抓不到Board2发送的包。
    可以确认的是，Board2的包确实发送出来了。查看Board1的switch的统计时，发现其接收的包数与Board2发送的包数一致，且转发给CPU口的包数也一致。


假如是Board1上集成在CPU的MAC收到了switch转发的包，但因未知原因给丢掉了，是不是此时ifconfig和tcpdump都不会有反应了？
也就是说，tcpdump是否只能抓到MAC层以上的包？

accessory

感觉可以把网卡的混杂模式打开。。全抓下来再说。

coralonland

回复 2# accessory


    tcpdump已经将网口设置成混杂模式了吧。

Godbach

抓包的命令是什么。

coralonland

抓包的命令是什么。
Godbach 发表于 2011-06-01 09:47

    tcpdump -i eth0.1030 -vv

luyue720

tcpdump是否只能抓到MAC层以上的包？
不是，可以直接抓链路层。
混杂模式下，只要驱动传给了内核，tcpdump就能得到。被硬件直接丢掉的就没办法了

accessory

印象中tcpdump不会把网卡自己改成混杂模式，可以用IFCONFIG看一眼就知道了。

yikaikai

tcpdump使用的是混杂模式， 确定网口是eth0.1030  么？

coralonland

tcpdump使用的是混杂模式， 确定网口是eth0.1030  么？
yikaikai 发表于 2011-06-02 08:27

    这个是在eth0上建立的一个vlan口，应该不会错的。

   如果驱动直接将包给drop了的话，tcpdump应该也能看到此包的，ifconfig的dropped也会增加，对吗？

platinum

这个是在eth0上建立的一个vlan口，应该不会错的。

   如果驱动直接将包给drop了的话，tcpdump ...
coralonland 发表于 2011-06-02 10:10

我怀疑是不是 tcpdump 对逻辑接口的抓取和处理有问题
可否采用抓取 eth0 物理设备的裸数据方法来试试？