2
나가는 트래픽을 덤핑합니다. 나는 단지 LAN과 다른 곳에서 보내지는 TCP와 UDP 패킷만을 원한다. 난 그냥 tcpdump에 다음과 같은 필터를 사용 :tcpdump에 나가는 IP 패킷 만 덤프하는 방법은 무엇입니까?
ip and (tcp or udp) and (not icmp) and src host myIPAddr and not dst net myNet/myNetBits and not ip broadcast
을하지만, 나는 다음과 같은 패킷 캡처 : 여기에 무슨 일이 있었는지
###[ Ethernet ]###
dst = ff:ff:ff:ff:ff:ff
src = 00:1e:4a:e0:9e:00
type = 0x806
###[ ARP ]###
hwtype = 0x1
ptype = 0x800
hwlen = 6
plen = 4
op = who-has
hwsrc = 00:1e:4a:e0:9e:00
psrc = X.X.X.X
hwdst = 00:00:00:00:00:00
pdst = Y.Y.Y.Y
###[ Padding ]###
load = '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
를? 나는 만을 IP 패킷으로 버리고 있다고 생각했다. 덤프보고에서
감사합니다. 그 조건을 필터에 추가하려고 시도했지만 다음과 같은 패킷이 계속 나타납니다. ### [이더넷] ### dst = ff : ff : ff : ff : ff : ff src = 00 : 1E : 4A : E0 : 9E : 00 TYPE = 0x806 ### [ARP] ### hwtype = 0x1을 = p 형 중 0x800 hwlen = 6 PLEN = 4 OP = hwsrc = 00-가지고 1e : 4a : e0 : 9e : 00 psrc = XXXX hwdst = 00 : 00 : 00 : 00 : 00 pdst = YYYY ### [패딩] ### load = '\ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 " –
덤핑 후 비 IP 패킷을 쉽게 걸러 낼 수는 있지만 위와 같은 단순한 필터로는 왜 작동하지 않는지 이해할 수 없습니다. –
잘 ARP는 http://www.ietf.org/rfc/rfc894.txt에 명시된 바와 같이 IP에서 사용됩니다. 당신은 또한 'not ether proto arp'를 사용하여 arp 패킷을 제거하려고 시도 할 수 있습니다. (오랜 시간 tcpdump 코드를 보지 않았으므로 정확하게 필터링 접근법을 기억할 수 없습니다) –