tcpdump抓不到包问题。

nmweizi

centos 5
tcpdump 3.9.4
libpcap  0.9.4


机器有两块网卡，一块eth0配有ip用作管理。一个eth1无ip，用作交换机镜像其他业务端口过来的数据抓包。

使用tcpdump -i eth1
可以抓到和看到大量镜像过来的数据。
问题是：
使用tcpdump -i eth1 tcp 却抓不到一个包，这里可以肯定的是上一个步骤中可以看到大量的tcp包。
使用任何条件都不能抓到包。如：tcpdump -i eth1 port 80等。
但使用tcpdump -i eth1 not udp 却可以抓到tcp包。

在eth0上使用tcpdump -i eth0 tcp，，是可以抓到数据的。

eth0和eth1的区别是eth1是镜像过来的数据。

请教大家：
镜像过来的数据是不是不能使用条件啊？
该如何使用呢?

nmweizi

最新发现，用
tcpdump -i eth1 ip是可以的。

pix77

那么，这个呢？
tcpdump -i eth1 ip and ! udp

nmweizi

谢谢楼上的回答。
搞错了，用这个tcpdump -i eth1 ip也抓不到包。
但是下面这样的都行，可是这样不是我想要的。
tcpdump -i eth1 ! ip
tcpdump -i eth1 ! tcp
tcpdump -i eth1 ! udp
tcpdump -i eth1 ! dst port 1521
我仔细看了下tcpdump -i eth1 --nn !  port 1521的输出，有1521和8080端口的数据，
也就是说没有能够过滤掉1521端口，这个条件不生效。

nmweizi

搞定，看这个就可以了。
http://lists.freebsd.org/piperma ... 7-April/148446.html

malaysia

楼上说的很好   对于端口镜像的数据，tcpdump需要使用vlan选项。
如 tcpdump -nli em1 vlan and host 81.91.161.70