tcpdump는 대상 MAC 주소가 NIC의 MAC 주소와 일치하지 않는 패킷을 캡처합니까

Question

이러한 패킷에 대해 일종의 처리를 수행하는 VM을 통해 iperf를 사용하여 UDP 패킷을 보내 일부 데이터 처리량 테스트를 실행하고 있습니다.

내 애플리케이션이 무차별 모드로 실행되므로 모든 패킷이 선택됩니다.

내 응용 프로그램에서 일부 패킷이 삭제되는 것을 보았지만 응용 프로그램 카운터는 속도 저하 또는 실패로 인한 것이 아님을 보여줍니다.

일부 응용 프로그램에 로그를 넣었으며 이더넷 프레임 자체가 손상되었을 수 있다고 제안했습니다.

또한 iperf 컴퓨터와 내 패킷 프로세서의 vnics에서 tcpdump를 실행하고 있었지만 이러한 패킷은 추적에 나타나지 않았습니다. 나는 추적에서 손상된 패킷이 보이기를 바랬다. 이더넷 프레임 자체가 손상되어 대상 MAC 자체가 vnet7 또는 vnet11의 MAC 주소와 일치하지 않는 경우

tcpdump -i vnet11 -C 100 -w iperf.pcap

tcpdump -i vnet7 -C 100 -w sgi.pcap

내 의심의 여지가, tcpdump을 것입니다 : 명령이처럼 보였다 그 패킷을 캡처합니까?

편집 : 그것은 단지 이더넷 프레임 자체가 불일치하는 대상 MAC의 원인이되는 손상된 경우, 다음 linuxbridge가 처음에 내 패킷 프로세서의 VNET 인터페이스에 그 패킷을 전송하지 않습니다 저를 쳤다. 따라서 tcpdump는 여기에 캡처 할 항목이 없습니다. 이 질문을 무시하십시오.

Answer 1

실제로 문제가 손상된 이더넷 프레임 인 경우 전혀 표시되지 않습니다. 네트워크 카드가 프레임을 버리면 스니퍼가 프레임을 볼 수 없습니다.

promiscuous 모드에서 실행하면 일반적으로 스니퍼가 대상 MAC에 관계없이 모든 패킷을 볼 수 있도록 네트워크 카드의 MAC 필터링이 비활성화됩니다. 그러나 스위치 된 환경에서는 스위치를 공격하거나 스팬 또는 미러 포트를 구성하기위한 추가 단계를 수행하지 않는 한 브로드 캐스트 및 프레임 만 표시됩니다 (즉, NIC로 전송되지 않은 패킷은 볼 수 없습니다). 시스템의 MAC을 대상으로합니다.

가상 컴퓨터로 인해이를 더 복잡하게 만들 수 있습니다. 서로 다른 가상화 솔루션이이를 다른 방식으로 처리합니다. 예를 들어, 관리자는 호스트 주소와 일치하지 않는 프레임을 VM에 전달할지 여부를 구성하여 효과적으로 무차별 모드를 부적절하게 만들 수 있습니다.