Observe Traffic 을 사용할 때 sudo tcpdump udp
작동 방식은 다음과 같습니다. 작업 중인 컴퓨터가 네트워크에 참여하지 않더라도 네트워크에서 발생하는 모든 트래픽을 볼 수 있습니다.
그러나 명령을 내릴 때sudo tcpdump tcp, 나는 관련되지 않은 트래픽만 볼 수 있습니다. 다른 두 시스템 사이를 이동하는 패킷은 볼 수 없습니다.
나는 그것에 대해 읽었습니다교환 네트워크, 하지만 제가 이해한 바에 따르면, 그렇다면 UDP 트래픽도 표시되어서는 안 됩니다.
운영 체제로 Ubuntu 14.04.1 LTS를 사용하고 있습니다.
TCP 트래픽 추적을 방해하는 요인은 무엇입니까?
추적된 UDP 트래픽:
00:35:58.813682 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:58.815133 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:58.998898 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:58.999134 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.201377 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.201968 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.370964 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.371582 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.553621 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.554164 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.717320 IP ubuntuserver.fritz.box.42149 > fritz.box.domain: 32553+ PTR? 255.178.168.192.in-addr.arpa. (46)
00:35:59.718072 IP fritz.box.domain > ubuntuserver.fritz.box.42149: 32553 NXDomain* 0/1/0 (106)
00:35:59.718241 IP ubuntuserver.fritz.box.49986 > fritz.box.domain: 41172+ PTR? 22.178.168.192.in-addr.arpa. (45)
00:35:59.719231 IP fritz.box.domain > ubuntuserver.fritz.box.49986: 41172* 1/1/3 PTR JanBerktold.fritz.box. (166)
00:35:59.719395 IP ubuntuserver.fritz.box.50904 > fritz.box.domain: 53292+ PTR? 21.178.168.192.in-addr.arpa. (45)
00:35:59.720181 IP fritz.box.domain > ubuntuserver.fritz.box.50904: 53292* 1/1/3 PTR JanBerktold.fritz.box. (166)
00:35:59.752634 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.752871 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.926701 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:35:59.926919 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.143513 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.144083 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.349315 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.365001 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.552357 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.552778 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.721407 IP ubuntuserver.fritz.box.38326 > fritz.box.domain: 11041+ PTR? 1.178.168.192.in-addr.arpa. (44)
00:36:00.722244 IP fritz.box.domain > ubuntuserver.fritz.box.38326: 11041* 1/1/3 PTR fritz.box. (153)
00:36:00.722371 IP ubuntuserver.fritz.box.43901 > fritz.box.domain: 36201+ PTR? 34.178.168.192.in-addr.arpa. (45)
00:36:00.723199 IP fritz.box.domain > ubuntuserver.fritz.box.43901: 36201* 1/1/3 PTR ubuntuserver.fritz.box. (167)
00:36:00.767687 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.768093 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.979263 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:00.979480 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:01.188186 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:01.188592 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
00:36:01.401442 IP JanBerktold.fritz.box.2008 > 192.168.178.255.2008: UDP, length 16
-- LOT MORE OF THESE --
참고: ubuntuserver는 추적 시스템이고 Janberktold는 Win8 데스크톱입니다.
지금까지는 192.168.178.255 주소가 라우터인 줄 알았는데, 이게 브로드캐스트 주소인 것 같습니다. 이것이 문제를 해결한 것 같습니다. 저는 실제로 스위치 네트워크에 있습니다.
답변1
이에 대한 두 가지 가능성이 있습니다.
UDP 브로드캐스트 트래픽이 표시됩니다.
두 원격 시스템 간의 UDP 트래픽이 표시됩니다. 맞습니다. 스위치는 MAC 주소로 트래픽을 격리합니다. 그러나 이를 수행하려면 어떤 세그먼트가 어떤 MAC 주소에 대한 것인지 알아야 합니다. 이는 흐름 기반 학습을 통해 이루어집니다. 스위치는 패킷을 수신하면 보낸 사람의 MAC 주소 인터페이스를 학습합니다. 그러나 수신자를 알 수 없는 패킷을 수신하면 해당 패킷을 모든 인터페이스로 전달해야 합니다. 이것은 (아마도) 컴퓨터에서 볼 수 있는 트래픽입니다.
TCP 트래픽도 볼 수 있지만 해당 시점부터 스위치가 발신자 및 수신자 인터페이스에 대해 학습하기 때문에 최대 초기 SYN만 볼 수 있습니다.
답변2
이 트래픽은 브로드캐스트 트래픽일 가능성이 높습니다. 보고 있는 트래픽의 소스와 대상은 무엇입니까?