免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3456 | 回复: 5

[网络子系统] 请教一个tcpdump抓包遇到的问题 [复制链接]

论坛徽章:
0
发表于 2012-07-13 13:59 |显示全部楼层
不知道这个问题发这是否合适。

最近需要监控一些流量,在交换机上做了一个端口镜像,把某端口进出流量全部镜像到一台服务器的网口。
在网口上用tcpdump抓包发现一点问题,如果不加任何过滤条件,双向的包都能抓到,
如果加上过滤条件,不管是指定端口还是ip,就只能抓到一个方向的包,但是这个过滤条件绝对包含量双向的报文
另外试了下如果用否定的过滤方式,比如 host not x.x.x.x 或者tcp port not xx是可以抓到双向报文的
不知道这是啥情况?哪位大侠遇到过这现象?

论坛徽章:
6
金牛座
日期:2013-10-08 10:19:10技术图书徽章
日期:2013-10-14 16:24:09CU十二周年纪念徽章
日期:2013-10-24 15:41:34狮子座
日期:2013-11-24 19:26:19未羊
日期:2014-01-23 15:50:002015年亚洲杯之阿联酋
日期:2015-05-09 14:36:15
发表于 2012-07-13 14:38 |显示全部楼层
回复 1# peimichael
估计是tcpdump的参数有问题吧。把你的命令打出来看看

   

论坛徽章:
0
发表于 2012-07-13 16:53 |显示全部楼层
举个例子,我用tcpdump -i eth2 -nn -c 10可以抓到
1.1.1.1.80 > 2.2.2.2.12345 xxxx
2.2.2.2.12345 > 1.1.1.1.80 xxxx
这些报文,但是以下四个命令
tcpdump -i eth2 -nn -c 10 host 1.1.1.1
tcpdump -i eth2 -nn -c 10 host 2.2.2.2
tcpdump -i eth2 -nn -c 10 tcp port 80
tcpdump -i eth2 -nn -c 10 tcp port 12345
只能抓到
1.1.1.1.80 > 2.2.2.2 xxxx
这些报文,就是说不管我用哪个host做过滤,都只能抓到1.1.1.1.80发出的报文。
如果用下面命令
tcpdump -i eth2 -nn -c 10 dst host 1.1.1.1
就什么报文也抓不到了

论坛徽章:
0
发表于 2012-07-16 09:53 |显示全部楼层
有啥配置可能引起这个现象?

论坛徽章:
0
发表于 2012-07-17 13:27 |显示全部楼层
用 ethereal

论坛徽章:
0
发表于 2012-07-19 10:29 |显示全部楼层
回复 5# fanronghua

有命令行版的吗?服务器没图形界面,也不让起vnc之类的服务
   
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP