Я хочу написать скрипт оболочки Linux, который будет захватывать определенный многоадресный трафик. В частности, я хочу создать файл pcap, который имеет весь трафик для одной конкретной группы / порта многоадресной рассылки.
Вот командная строка, которую я использую для просмотра трафика:
tcpdump -nnXs 0 -i eth1 udp port 22001 and dst 233.54.12.234Это работает нормально, если у меня уже есть многоадресная подписка на эту группу. Например, если я запускаю это в другой консоли:
mdump 233.54.12.234 22001 10.13.252.51tcpdumpувидим пакеты. Если mdumpне работает, tcpdumpничего не видит.
Существует ли стандартный linux-y способ установить эти многоадресные соединения перед запуском захвата? Я мог бы использовать mdumpдля создания этих объединений, но это кажется расточительным, так как mdumpбудет обрабатывать все эти данные в группе, но я просто собираюсь выбросить их.
Обратите внимание, что из-за моей конкретной среды я не рекомендовал переводить интерфейс в беспорядочный режим. На самом деле это может быть запрещено.
источник
-pфлаг, в стандартных версиях ТСРйитра, получается смешанным режим выключен , так как это по умолчанию. В смешанном режиме он должен видеть весь трафик, включая многоадресный трафик, независимо от того, установлена ли у вас подписка - если вы не находитесь в коммутируемой сети и необходимо, чтобы подписка была установлена, чтобы коммутатор перенаправлял вам трафик.mdumpзапуском в другую консоль)tcpdumpничего не видит.Ответы:
TL; DR - Выберите один:
sudo ip addr add 233.54.12.234/32 dev eth1 autojoinsocat STDIO UDP4-RECV:22001,ip-add-membership=233.54.12.234:eth1 > /dev/nullСначала я собирался сказать «просто используйте
ip maddress addи покончите с этим». Проблемаip maddressкасается только групповых адресов канального уровня, а не протокольных групповых адресов (man 8 ip-maddress).Это сказанное использование
autojoinфлага с адресным глаголом делает трюк просто приятно.Это поднимает некоторые последующие вопросы, хотя. Я предполагаю, что так как вы будете работать
tcpdumpилиtsharkу вас есть права root. В случае, если у вас нет номера 22001, порт с высоким номером, и другие утилиты, какsocat, также сделают это.Не верьте мне на слово, хотя. Просто чтобы проверить это, мы можем сгенерировать многоадресные UDP-пакеты с помощью
socatилиncat(обычно упакованные черезnmap/nmap-ncat).На некотором количестве хостов запустите одну из следующих двух комбинаций:
Опция 1:
Вариант 2:
Первый вариант потребует либо root, либо, по крайней мере, возможность
CAP_NET_ADMIN. Второй вариант не требует root, но также предполагает запуск на переднем плане и, следовательно, может быть менее благоприятным для сценариев (хотя отслеживание идентификатора дочернего процесса и очистка его с помощьюtrapBASH может быть именно тем, что вам нужно.Как только это будет сделано (но прежде чем идти орехи тестирования нашего
tcpdump/tsharkкоманды) , убедитесь , что ядро распознает интерфейс, вступив в соответствующую группу IGMP. Если вы чувствуете себя супер фантазией, вы можете сходить с ума, разбирая гекс/proc/net/igmp, но я бы посоветовал просто бежатьnetstat -gn.Убедившись, что вы видите интерфейс, подписанный на правильную группу, запустите команду tcpdump:
В качестве альтернативы, если вы не хотите полностью идти по пути tcpdump (или наткнулись на этот ответ, и вам просто интересно увидеть многоадресную рассылку в действии), вы можете использовать
socatкоманду выше, чтобы присоединиться и повторить содержимоеSTDOUT, заменив/dev/nullнаSTDOUT:Затем с другого компьютера используйте одну из следующих двух опций для отправки простых тестовых данных:
Опция 1:
Вариант 2:
Когда вы запустите любую из этих команд, она будет интерактивно ожидать ввода. Просто введите некоторые вещи, нажмите Enter, чтобы отправить, а затем,
CTRL+Dкогда вы закончите, чтобы отправитьEOFсообщение.К этому моменту вы должны были увидеть тест до конца и с помощью нескольких команд создать худшую, самую небезопасную систему чата в мире.
источник