tcpdump로 캡처한 pcap 파일이 있습니다.tcpdump -w out.pcap -ni eno1 host 192.88.99.1
pcap을 볼 수 있습니다.
rful011@secmonprd13:~$ tcpdump -nr out.pcap -tttt | head
reading from file andy.tcpd, link-type EN10MB (Ethernet)
2023-04-11 11:54:52.046310 IP 130.216.15.171 > 192.88.99.1: IP6 2002:82d8:fab::82d8:fab > 2002:c058:6301::c058:6301: ICMP6, echo request, seq 43217, length 8
2023-04-11 11:54:52.164305 IP 192.88.99.1 > 130.216.15.171: IP6 2002:c058:6301::1 > 2002:82d8:fab::82d8:fab: ICMP6, time exceeded in-transit for 2002:c058:6301::c058:6301, length 56
2023-04-11 11:54:52.165665 IP 130.216.15.171 > 192.88.99.1: IP6 2002:82d8:fab::82d8:fab > 2002:c058:6301::c058:6301: ICMP6, echo request, seq 43218, length 8
그러나 필터링을 시도하면 출력이 생성되지 않습니다.
rful011@secmonprd13:~$ tcpdump -nr out.pcap -tttt ip6 net 2002::/16 | head
reading from file andy.tcpd, link-type EN10MB (Ethernet)
rful011@secmonprd13:~$
6to4 트래픽을 볼 수 없는 이유를 조사하던 중,아키메-- 이 경우에는 bpf 필터를 선택 TCP하고 모든 6to4 트래픽을 필터링했습니다. TCP필터를 제거한 후 Arkime은 6to4 트래픽을 기록합니다.
이 문제는 libpcap의 문제인 것 같나요? 내 우분투 상자에그리고내 Mac에서도 같은 상황이 발생합니다!
모든 프로토콜에 대한 필터링이 6to4를 필터링하는 이유를 이해합니다. 따라서 다른 트래픽을 정상적으로 필터링할 수 있도록 하면서 6to4 트래픽을 캡처하는 bpf 필터를 어떻게 구축할 수 있습니까?