tcpdump не показывает все пакеты? [Дубликат]

0

Возможный дубликат:
мой tcpdump всегда фильтрует пакеты?

Я использую tcpdump уже около месяца, и недавно он прекратил захватывать любые пакеты, которые не были отправлены на или с компьютера, на котором запущен tcpdump. Я сократил свою команду до просто:

sudo tcpdump -i en2

Я проверил свои интерфейсы с помощью ifconfig, и en2 находится в режиме «PROMISC». Определяя конкретный хост в качестве фильтра, я вижу только несколько сообщений «arp», но ничто по сравнению с тем, что на самом деле происходит в сети. Я работаю под роутером Westell 7500. Вот пример вывода команды tcpdump для указанной выше команды, к которой добавлен «host 192.168.1.30» (еще один хост в моей сети) для фильтрации моего собственного трафика.

listening on en2, link-type EN10MB (Ethernet), capture size 65535 bytes
21:16:19.968786 ARP, Request who-has 192.168.1.30 tell dslrouter.westell.com, length 46
21:16:41.471548 ARP, Request who-has 192.168.1.30 tell dslrouter.westell.com, length 46
21:16:42.395101 ARP, Request who-has 192.168.1.30 tell dslrouter.westell.com, length 46

3 packets captured
127 packets received by filter
0 packets dropped by kernel

Я получаю большинство пакетов, отфильтрованных, даже когда я не включите фильтр хоста. Я знаю, что, возможно, моя сеть каким-то образом изменилась с «концентратора» на «коммутатор» типа маршрутизатора. Если это так, может ли кто-нибудь помочь мне в настройке зеркала порта или, по крайней мере, указать мне правильное направление, чтобы я всегда мог видеть все, что происходит в моей локальной сети?

Благодаря тонну.

Richard Calahan
источник
Лучше всего получить маршрутизатор, который может запускать tcpdump. Концентраторы иногда полезны для тестирования, но если вы планируете постоянно поддерживать и контролировать что-то для мониторинга сети, концентратор не так хорош. Маршрутизаторы бизнес-класса - это то, что нужно, я знаю, что у пограничных сетей есть возможность запуска tcpdump, вы можете легко проверить весь интерфейс LAN или WAN или любой отдельный IP в сети.
MaQleod
возможный дубликат мой tcpdump всегда фильтрует пакеты? Я думаю, что вы уже задавали этот вопрос в StackOverflow, и он был перенесен в SuperUser. Если вы перейдете к настройкам своей учетной записи и свяжете свои учетные записи, вы сможете получить контроль над уже существующей, перенесенной копией вопроса.
Spiff

Ответы:

0

Маршрутизатор или коммутатор не будут отправлять весь трафик на все порты по умолчанию. Вам нужен концентратор или убедитесь, что ваше сетевое оборудование может отражать трафик на порт. (иногда называемый зеркалированием, иногда называемый портом монитора и несколькими другими именами). По существу, сетевой трафик (кроме широковещательных сообщений) не поступает на ваш компьютер.

Brian
источник