tcpdump не показывает все пакеты?

2853
Richard Calahan

Возможное дублирование:
мой tcpdump всегда фильтрует пакеты?

Я использую tcpdump уже около месяца, и недавно он прекратил захватывать любые пакеты, которые не были отправлены на или с компьютера, на котором запущен tcpdump. Я сократил свою команду до просто:

sudo tcpdump -i en2

Я проверил свои интерфейсы с помощью ifconfig, и en2 находится в режиме «PROMISC». При указании определенного хоста в качестве фильтра, я вижу только несколько сообщений «arp», но ничто по сравнению с тем, что на самом деле происходит в сети. Я работаю под роутером Westell 7500. Вот пример вывода команды tcpdump для указанной выше команды, к которой добавлен «host 192.168.1.30» (еще один хост в моей сети) для фильтрации моего собственного трафика.

listening on en2, link-type EN10MB (Ethernet), capture size 65535 bytes 21:16:19.968786 ARP, Request who-has 192.168.1.30 tell dslrouter.westell.com, length 46 21:16:41.471548 ARP, Request who-has 192.168.1.30 tell dslrouter.westell.com, length 46 21:16:42.395101 ARP, Request who-has 192.168.1.30 tell dslrouter.westell.com, length 46  3 packets captured 127 packets received by filter 0 packets dropped by kernel

Я получаю большинство пакетов, отфильтрованных, даже если я не включаю фильтр хоста. Я знаю, что, возможно, моя сеть каким-то образом изменилась с «концентратора» на «коммутатор» типа маршрутизатора. Если это так, может ли кто-нибудь помочь мне в настройке зеркала порта или, по крайней мере, указать мне правильное направление, чтобы я всегда мог видеть все происходящее в моей локальной сети?

Благодаря тонну.

0
Лучше всего получить маршрутизатор, который может запускать tcpdump. Концентраторы иногда полезны для тестирования, но если вы планируете постоянно поддерживать и контролировать что-то для мониторинга сети, концентратор не так хорош. Маршрутизаторы бизнес-класса - это путь, я знаю, что у пограничных сетей есть возможность запуска tcpdump, вы можете легко проверить весь интерфейс LAN или WAN или любой отдельный IP в сети. MaQleod 13 лет назад 0
возможный дубликат [мой tcpdump всегда фильтрует пакеты?] (http://superuser.com/questions/249750/my-tcpdump-always-filters-packets) Я думаю, что вы уже задавали этот вопрос в StackOverflow, и он был перенесен в SuperUser , Если вы перейдете к настройкам своей учетной записи и свяжете свои учетные записи, вы сможете получить контроль над уже существующей, перенесенной копией вопроса. Spiff 13 лет назад 0

1 ответ на вопрос

0
Brian

Маршрутизатор или коммутатор не будут отправлять весь трафик на все порты по умолчанию. Вам нужен концентратор, или убедитесь, что ваше сетевое оборудование может отражать трафик на порт. (иногда называемый зеркалированием, иногда называемый портом монитора и несколькими другими именами). По существу, сетевой трафик (кроме широковещательных сообщений) не поступает на ваш компьютер.

Похожие вопросы