내 라우터에는 atm0인터페이스 1개와 WAN IP 주소가 있는 VLAN( atm0.1) 인터페이스 1개가 있습니다.atm0.1
를 사용하면 tcpdump -i atm0캡처된 패킷은 나가는 패킷(LAN에서 WAN으로)만 됩니다.
05:34:19.504895 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29184, length 40
05:34:20.506885 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29440, length 40
05:34:21.507868 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29696, length 40
를 사용하면 tcpdump -i atm0.1캡처된 패킷에 나가는 패킷과 들어오는 패킷이 모두 포함됩니다.
05:36:33.517705 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30208, length 40
05:36:33.827969 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30208, length 40
05:36:34.519715 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30464, length 40
05:36:34.685847 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30464, length 40
05:36:35.521643 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30720, length 40
05:36:35.679061 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30720, length 40
왜?
Linux 버전은 2.6.30이고 atm 드라이버는 broadcom에서 제공됩니다.
답변1
이것은 드문 일이 아닙니다. libpcap이 네트워크 트래픽을 가로채기 위해 후크를 설정하는 지점이 항상 모든 트래픽을 캡처하는 올바른 장소가 아닐 수도 있습니다. 결국 가상 인터페이스는 물리적 인터페이스의 완벽한 복제본을 만드는 것이 아니라 기능 집합(일반적으로 속도에 최적화됨)일 뿐입니다. VLAN, Tun/Tap 인터페이스 및 브리지에서 비대칭 트래픽 캡처가 발생할 수 있습니다. 항상 무차별 모드나 일반 모드에서 캡처를 시도하세요.
답변2
이는 트래픽 경로가 다음과 같기 때문에 발생합니다.
application -> atm0 -> atm0.1 -> destination
destination -> atm0.1 -> application