tcpdump und tagged VLAN (tcpdump -i eth0.2)

29/12/2013 - 00:45 von Ralph Aichinger | Report spam
Ich hab grade festgestellt, daß tcpdump auf meinem Raspbian/Debian
Jessie mit VLAN-Interfaces sich sehr seltsam verhàlt:

Ein

root@pi:/home/ralph# tcpdump -l -i eth0.2

zeigt nàmlich (anscheinend) nur Broadcasts, nicht aber die anderen
Pakete an. Ein ergoogletes

root@pi:/home/ralph# tcpdump -l -i eth0 vlan 2

scheint zu funktionieren.

Gibt es eine Version von tcpdump die die erstere Syntax unterstützt?
Ist das ein Bug, ein Problem von tcpdump, von Raspbian, von Debian,
oder ein Irrtum/nicht Verstehen meinerseits?

ii tcpdump 4.5.1-2 armhf command-line network traffic anal
ii libpcap0.8:arm 1.5.2-1 armhf system interface for user-level p

/ralph
http://www.flickr.com/photos/sooperkuh/
 

Lesen sie die antworten

#1 Ralf Döblitz
29/12/2013 - 09:27 | Warnen spam
Ralph Aichinger schrieb:
[...]
Gibt es eine Version von tcpdump die die erstere Syntax unterstützt?



Unwahrscheinlich, working as designed.

Ist das ein Bug, ein Problem von tcpdump, von Raspbian, von Debian,
oder ein Irrtum/nicht Verstehen meinerseits?



Letzteres. tcpdump setzt AFAIK auf dem rohen Interface auf (bevor da im
Kernel die Paketfilter etc. zugreifen). Daher mußt du dann eben das
opyhische Interface nehmen und im Filter die Bedingung angeben, die dir
genau die gewünschten Pakete durch die Bedingung "vlan XYZ" rausfiltert,
so wie es der Netzwerk-Code im Kernel auch machen würde.

Das ist wohl eine Design-Entscheidung, denn zum Debugging willst du
normalerweise möglichst wenig Bearbeitung der Pakete durch den Kernel
haben bevor du sie abgreifst, für VLAN-Interface wàre aber Filterung und
Modfikation notwendig.

Ralf
Eine GABELN heißt im Fido nàmlich "Echo", weil da reingegatete Artikel
öfters mit anderer Message-ID wieder rauskommen.
  – Oliver B. Warzecha

Ähnliche fragen