wie kann ich den dump nur, ausgehenden IP-Paketen in tcpdump?

Ich bin dumping ausgehenden Datenverkehr. Ich will nur TCP-und UDP-Pakete bestimmt außerhalb meines LAN, sonst nichts. Ich habe gerade verwendet die folgenden filter mit tcpdump:

ip and (tcp or udp) and (not icmp) and src host myIPAddr and not dst net myNet/myNetBits and not ip broadcast

Aber ich nahm das folgende Paket:

###[ Ethernet ]###
  dst       = ff:ff:ff:ff:ff:ff
  src       = 00:1e:4a:e0:9e:00
  type      = 0x806
###[ ARP ]###
     hwtype    = 0x1
     ptype     = 0x800
     hwlen     = 6
     plen      = 4
     op        = who-has
     hwsrc     = 00:1e:4a:e0:9e:00
     psrc      = X.X.X.X
     hwdst     = 00:00:00:00:00:00
     pdst      = Y.Y.Y.Y
###[ Padding ]###
        load      = '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'

Was ist hier passiert? Ich dachte, ich war dumping nur IP-Pakete.

InformationsquelleAutor Ricky Robinson | 2012-06-05

  1. 1

    Set-Filterung auf dem host als Quelle:

    tcpdump src <YOUR_IP>

    InformationsquelleAutor Antonio Petricca

  2. 0

    Vom Blick auf die dump-Sie erhalten ARP - Paket mit IP-Protokoll-Typ (d.h. ptype = 0x800). Sollten Sie herausfiltern, die auch die ARP-Pakete and (not arp) - und das soll auch Aufräumen Ihrem dump. Ich denke, wenn man sich die tcpdump-code finden Sie den Grund, warum hält es auch diese spezielle ARP-Pakete (aber da IP setzt die Pakete für die Netzwerk-Auflösung, die ich denke, diese ARP-Pakete werden als Teil des IP durch tcpdump).

    Freundlichen GRÜßEN,

    Bo

    Danke für die Antwort. Ich habe gerade versucht hinzuzufügen, dass der Zustand an meinem filter und ich bekomme immer noch Pakete wie folgt: ###[ Ethernet ]### dst = ff:ff:ff:ff:ff:ff src = 00:1e:4a:e0:9e:00 type = 0x806 ###[ ARP ]### hwtype = 0x1 ptype = 0x800 hwlen = 6 plen = 4 op = who-has hwsrc = 00:1e:4a:e0:9e:00 psrc = X.X.X.X hwdst = 00:00:00:00:00:00 pdst = Y.Y.Y.Y ###[ Padding ]### load = '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
    Ich konnte das herausfiltern von nicht-IP-Pakete nach dumping, aber ich verstehe nicht, warum es einfach nicht funktioniert mit einem einfachen filter wie die oben.
    Auch wird ARP verwendet, die von IP-Adresse wie angegeben in: ietf.org/rfc/rfc894.txt. Sie können auch versuchen, filter not ether proto arp zu versuchen, Sie zu entfernen arp-Pakete (ich habe nicht geschaut bei der tcpdump-code in der langen Zeit so kann ich mich nicht erinnern, die genaue Filterung Ansatz)
    not ether proto arp funktioniert nicht, obwohl es richtig aussieht für mich. Danke trotzdem!
    Versuchen: not ether proto \arp . Von dem, was ich erinnere mich an ältere Versionen von tcpdump nicht wie arp und wollte \arp als arp ist ein Schlüsselwort

    InformationsquelleAutor Bo.

Schreibe einen Kommentar