tcpdump: একাধিক vlans ক্যাপচার

আমি tcpdump VLAN 1000 বা VLAN 501 ক্যাপচার করতে চাই man pcap-filtersays বলেছেন:

ভ্লান [ভ্লান_আইডি] এক্সপ্রেশনটি ভিএলএএন স্তরক্রমগুলিতে ফিল্টার করতে একাধিকবার ব্যবহার করা যেতে পারে। এই অভিব্যক্তিটির প্রতিটি ব্যবহার ফিল্টার অফসেটগুলিকে 4 দ্বারা বাড়ায়।

যখন আমি করি:

tcpdump -vv -i eth1 \( vlan 1000 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \)

আমি বন্দী প্যাকেট পেতে।

কিন্তু যখন আমি করি:

tcpdump -vv -i eth1 \( vlan 1000 or vlan 501 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \)

আমি কোনও প্যাকেট পাই না - ম্যান পৃষ্ঠাতে বর্ণিত "4 ইনক্রিমেন্ট বাই" আচরণের কারণে আমি অনুমান করি।

আমি কীভাবে একবারে একাধিক ভিএলএএন-তে ট্র্যাফিক ক্যাপচার করতে পারি?

আমার মনে আছে আপনি সরাসরি প্যাকেট বাইট পরীক্ষা করতে পারেন। সুতরাং সরাসরি ইথারনেট শিরোলেখ কাজ করে:

tcpdump -vv -i eth1 '( vlan and ( ether[14:2] & 0xfff == 1000 or ether[14:2] & 0xfff == 501 ) ) and ( ip host 10.1.1.98 or ip host 10.1.1.99 )'

ভুলে যাবেন না :2, এটি 2 বাইট ক্ষেত্র - আমি কিছুক্ষণের জন্য আটকে গেলাম।

এটি গভীর প্যাকেট পরীক্ষা না করে আরও সহজ উপায়ে করা যেতে পারে, কেবল গ্রেপ ব্যবহার করুন:

tcpdump -n -i eth1 -e | grep "vlan 1000" 

-e: প্রতিটি ডাম্প লাইনে লিঙ্ক-স্তরের শিরোনাম মুদ্রণ করুন।

এটি লাইনের মতো মুদ্রণ করবে

ethertype 802.1Q (0x8100), length 60: vlan 1000, p 0, ethertype ARP

যা গ্রেপ দ্বারা সহজেই ধরা যায়

আপনি যদি একাধিক ভিএলএএন আইডি ধরতে চান তবে আপনি কমান্ডটি ব্যবহার করতে পারেন:

tcpdump -n -i eth1 -e | grep "vlan 1000\|vlan 501"

ভ্যালান ফিল্টারটি প্যাকেটের সামগ্রীগুলি স্থানান্তরিত করবে বলে মনে হচ্ছে ....

http://www.christian-rossow.de/articles/tcpdump_filter_mixed_tagged_and_untagged_VLAN_traffic.php