我有一个用 tcpdump 捕获的 pcap 文件:tcpdump -w out.pcap -ni eno1 host 192.88.99.1
我可以查看 pcap:
rful011@secmonprd13:~$ tcpdump -nr out.pcap -tttt | head
reading from file andy.tcpd, link-type EN10MB (Ethernet)
2023-04-11 11:54:52.046310 IP 130.216.15.171 > 192.88.99.1: IP6 2002:82d8:fab::82d8:fab > 2002:c058:6301::c058:6301: ICMP6, echo request, seq 43217, length 8
2023-04-11 11:54:52.164305 IP 192.88.99.1 > 130.216.15.171: IP6 2002:c058:6301::1 > 2002:82d8:fab::82d8:fab: ICMP6, time exceeded in-transit for 2002:c058:6301::c058:6301, length 56
2023-04-11 11:54:52.165665 IP 130.216.15.171 > 192.88.99.1: IP6 2002:82d8:fab::82d8:fab > 2002:c058:6301::c058:6301: ICMP6, echo request, seq 43218, length 8
但任何过滤尝试都不会产生任何输出:
rful011@secmonprd13:~$ tcpdump -nr out.pcap -tttt ip6 net 2002::/16 | head
reading from file andy.tcpd, link-type EN10MB (Ethernet)
rful011@secmonprd13:~$
我在调查为什么看不到 6to4 流量时遇到阿基梅-- 在这种情况下,我选择了 bpf 过滤器TCP,并过滤掉了所有 6to4 流量。删除TCP过滤器后,Arkime 会记录 6to4 流量。
这个问题好像是libpcap的问题?在我的 Ubuntu 盒子上和我在 Mac 上也遇到同样的情况!
我明白为什么对任何协议进行过滤都会过滤掉 6to4,那么我如何构建一个 bpf 过滤器来捕获 6to4 流量,同时允许我正常过滤其他流量。