প্যাকেট ক্যাপচারগুলি: আরএক্স বনাম টিএক্স-এ ফিল্টারিং

আমার একটি নেটওয়ার্ক সমস্যা আছে যেখানে আমার হোস্টের উত্স ম্যাকের একটির সাথে মেলে এমন উত্স ম্যাকের ফ্রেমগুলি হোস্টে পৌঁছে যাচ্ছে - একটি আপাত নকল ম্যাক, বা লুপ, বা অন্যান্য এল 2 সমস্যা।

আমি বিশ্বাস করি যে এই পরিস্থিতি কারণ আমার লিনাক্স ব্রিজের ম্যাক টেবিলগুলি (সিএএম টেবিলগুলি) স্থানীয় প্রবাহকে (হোস্টেড ভার্চুয়াল মেশিনের জন্য) আপস্ট্রিম পোর্টে রেজিস্টার করে এবং কার্নেল লগগুলি ত্রুটিগুলি দেখায়:

bridgename: received packet on bond0.2222 with own address as source address

আমি এই "দুর্বৃত্ত" প্যাকেটগুলি / ফ্রেমগুলি সম্পর্কে আরও বিশদ পেতে চাই তবে সেগুলিতে কীভাবে শূন্য করা যায় তা আমি বুঝতে পারি না। টিসিপিডম্পের সাহায্যে আপনি একটি নির্দিষ্ট উত্স ম্যাক ('ইথার এসসিআর ম্যাক') এ ফিল্টার করতে পারেন, তবে এটি ফ্রেমের বাইটের উপর ভিত্তি করে - ফ্রেমটি "পাঠানো" বনাম "প্রাপ্ত" হয়েছিল কিনা তা নয় not আমরা সাধারণত আমাদের উত্স ম্যাকের সাথে একটি ফ্রেম ধরে নিই মানে আমরা এটি প্রেরণ করছি, তবে যদি কোনও সদৃশ ফ্রেম পাওয়া যায়, তবে সামগ্রীগুলি ফিল্টারটির মতো দেখতে একই রকম হবে।

কোনও প্যাকেট ক্যাপচারে প্রেরণ করা বনাম কোনও ফ্রেম প্রাপ্ত হয়েছিল কিনা তা কীভাবে পর্যবেক্ষণ করা যায়?

— জোশুয়া মিলার
সূত্র

না tcpdump -i <interface> inbound(বা "বহির্গামী") কাজ করে?

ম্যান পৃষ্ঠাটি মনে হচ্ছে এটি এসআইএলপি-তে সীমাবদ্ধ। আমি যখন আমার ইন্টারফেসের (লুপব্যাক, এথ / এম, বন্ড, ভ্লান, ট্যাপ ...) এর বিপরীতে এটি চেষ্টা করি তখন tcpdump বলেছেন: "tcpdump: ইনবাউন্ড / আউটবাউন্ড লিঙ্কটাইপ 1 তে সমর্থিত নয়"

— জোশুয়া মিলার

এটি আপনার প্রশ্নের উত্তর দেয় না, তবে iptables এবং ulogd ব্যবহার করে আপনি কেবল আকর্ষণীয় প্যাকেটগুলির সাথে একটি পিসি্যাপ পেতে সক্ষম হবেন।

— lsmooth

tcpdump -Lসমর্থিত ইন্টারফেস দেখার জন্য ব্যবহার করুন

— ফারসিগাল্ফ

ব্যবহারngrep -d dev

— ফার্সিগাল্ফ

উত্তর:

--directionTcpdump করতে বিকল্পটি ব্যবহার করুন :

-Q direction
--direction=direction
       Choose send/receive direction direction for which packets should be
       captured. Possible values are `in', `out' and `inout'. Not available on
       all platforms.

— abacabadabacaba
সূত্র

এই বিকল্পটি কেবলমাত্র tcpdump - 4.6.2 এর সাম্প্রতিকতম স্থিতি প্রকাশের সাথে উপলব্ধ। তবে এটি উবুন্টুতে তৈরি করার পরে, এটি আউটবাউন্ড বনাম বহির্মুখী ফ্রেমের মধ্যে সাফল্যের সাথে পৃথক হতে দেখা যায়। Huzzah!

— জোশুয়া মিলার

@ জোশুয়া মিলার আমি কেবল tcpdumpউবুন্টু ১৪.০৪-তে ম্যান পৃষ্ঠাটি পরীক্ষা করেছি এবং ঠিক একই বর্ণনার একটি বিকল্প উপস্থিত রয়েছে, তবে এটির -Pপরিবর্তে বলা হয় -Q(এবং দীর্ঘ ফর্মটি উল্লেখ করা হয়নি)।

— কাস্পার্ড

@ ক্যাস্পার্ড আপনি ঠিক বলেছেন! tcpdump 4.5.1 আসলে -পি আছে। সম্ভবত কার্যকারিতাটি আমি নতুনভাবে ভাবিনি তেমন নতুন নয়।

— জোশুয়া মিলার

Iptables সহ, আপনার আগত এবং বহির্গামী প্যাকেটের জন্য আলাদা আলাদা 'চেইন' রয়েছে। Iptables (8) ম্যান পৃষ্ঠা থেকে:

... the chains INPUT and OUTPUT are only traversed for packets coming into 
the local host and originating from the local host  respectively.   Hence 
every  packet  only  passes  through one of the three chains (except 
loopback traffic, which involves both INPUT and OUTPUT chains) ...

iptables কিছু লগিং (-l) করতে পারে যা আপনাকে যা প্রয়োজন তা আপনাকে প্রদর্শন করতে পারে। এটি সম্ভবত অন্য সরঞ্জামের সাথে লগ করার জন্য প্যাকেটের অনুলিপি একটি ইন্টারফেসে ফরোয়ার্ড করতে পারে, তবে আমার এটি করার কারণ নেই।

— mc0e
সূত্র