Почему `tcpdump -i Any` не может захватывать одноадресный трафик в br0 (мост Linux), но он работает одновременно с tcpdu

Почему `tcpdump -i Any` не может захватывать одноадресный трафик в br0 (мост Linux), но он работает одновременно с tcpdu ⇐ Linux

1 сообщение • Страница 1 из 1

Anonymous

Почему `tcpdump -i Any` не может захватывать одноадресный трафик в br0 (мост Linux), но он работает одновременно с tcpdu

Цитата

Сообщение Anonymous » 27 сен 2024, 18:11

Как описано в вопросе, я не могу получить br0 (linux Bridge имя) unicast трафик (конечно, широковещательная рассылка может) с tcpdump -nni любой -vvv, но это (

Код: Выделить всё

tcpdump -nni any -vvv

) будет захватывать одноадресный трафик, пока я открываю другой терминал и запускаю команду tcpdump -nni br0 -vvv, чтобы одновременно захватывать только трафик br0.
И tcpdump с версией 4.99.5 (libpcap версии 1.10.5 (с TPACKET_V3)) работает, но версия 4.9.3< /em> (версия libpcap 1.8.1) не может работать с командой tcpdump -nni Any -vvv для отображения трафика br0.
Еще одна вещь: я знаю, что br0 получить весь трафик, который поступает в устройство моста Linux, см. также «Анатомия моста Linux».

В случаях, когда MAC-адрес назначения входящего кадра много- или широковещательный, мостовое устройство настроено на
получение всего трафика или адрес соответствует одному из локальных интерфейсов, клон кадра также доставляется вверх
в стеке локальной сети путем вызова функция br_pass_frame_
up. Функция обновляет статистику мостового устройства и передает входящий кадр вверх по сетевому стеку,
вызывая независимую от устройства функцию netif_receive_skb

Я думаю, что из-за версии или параметра инструмента tcpdump, но я не могу это проверить.

Подробнее здесь: https://stackoverflow.com/questions/790 ... e-but-it-w

1727449913

Anonymous

Как описано в вопросе, я не могу получить br0 ([b]linux Bridge[/b] имя) [b]unicast[/b] трафик (конечно, широковещательная рассылка может) с tcpdump -nni любой -vvv, но это ([code]tcpdump -nni any -vvv[/code]) будет захватывать одноадресный трафик, пока я открываю другой терминал и запускаю команду tcpdump -nni br0 -vvv, чтобы одновременно захватывать только трафик br0.
И tcpdump с версией 4.99.5 (libpcap версии 1.10.5 (с TPACKET_V3)) работает, но версия 4.9.3< /em> (версия libpcap 1.8.1) не может работать с командой tcpdump -nni Any -vvv для отображения трафика br0.
Еще одна вещь: я знаю, что br0 получить весь трафик, который поступает в устройство моста Linux, см. также «Анатомия моста Linux».

В случаях, когда MAC-адрес назначения входящего кадра много- или широковещательный, мостовое устройство настроено на
получение всего трафика или адрес соответствует одному из локальных интерфейсов, клон кадра также доставляется вверх
в стеке локальной сети путем вызова функция br_pass_frame_
up. Функция обновляет статистику мостового устройства и передает входящий кадр вверх по сетевому стеку,
вызывая независимую от устройства функцию netif_receive_skb

Я думаю, что из-за версии или параметра инструмента tcpdump, но я не могу это проверить. 

Подробнее здесь: [url]https://stackoverflow.com/questions/79031965/why-tcpdump-i-any-cant-capture-unicast-traffic-in-br0linux-bridge-but-it-w[/url]