我的路由器有一个atm0接口和一个 VLAN ( atm0.1) 接口,atm0.1有 WAN IP 地址。
使用 时tcpdump -i atm0,捕获的数据包仅为传出数据包(LAN 到 WAN)。
05:34:19.504895 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29184, length 40
05:34:20.506885 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29440, length 40
05:34:21.507868 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29696, length 40
使用 时tcpdump -i atm0.1,捕获的数据包包括传出数据包和传入数据包。
05:36:33.517705 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30208, length 40
05:36:33.827969 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30208, length 40
05:36:34.519715 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30464, length 40
05:36:34.685847 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30464, length 40
05:36:35.521643 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30720, length 40
05:36:35.679061 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30720, length 40
为什么?
linux版本是2.6.30,atm驱动来自broadcom。
答案1
这并不罕见。 libpcap 设置钩子来拦截网络流量的点可能并不总是捕获所有流量的正确位置。毕竟,虚拟接口只是一组功能(通常针对速度进行优化),而不是创建物理接口的完美复制品。 VLAN、tun/tap 接口和网桥可能会发生非对称流量捕获。始终尝试在混杂模式或正常模式下捕获。
答案2
发生这种情况是因为流量的路径是:
application -> atm0 -> atm0.1 -> destination
destination -> atm0.1 -> application