如何捕获虚拟接口上的流量？

Question 1

流量通过接口进行lo。

当 IP 添加到盒子时，该地址的路由将添加到“本地”表中。该表中的所有路由都通过环回接口路由流量。

您可以使用以下命令查看“本地”表的内容：

ip route show table local

在我的系统上看起来像这样：

local 10.230.134.38 dev tun0  proto kernel  scope host  src 10.230.134.38 
broadcast 10.230.134.38 dev tun0  proto kernel  scope link  src 10.230.134.38 
broadcast 127.0.0.0 dev lo  proto kernel  scope link  src 127.0.0.1 
local 127.0.0.0/8 dev lo  proto kernel  scope host  src 127.0.0.1 
local 127.0.0.1 dev lo  proto kernel  scope host  src 127.0.0.1 
broadcast 127.255.255.255 dev lo  proto kernel  scope link  src 127.0.0.1 
broadcast 172.17.0.0 dev docker0  proto kernel  scope link  src 172.17.42.1 
local 172.17.42.1 dev docker0  proto kernel  scope host  src 172.17.42.1 
broadcast 172.17.255.255 dev docker0  proto kernel  scope link  src 172.17.42.1 
broadcast 192.168.0.0 dev enp6s0  proto kernel  scope link  src 192.168.0.20 
local 192.168.0.20 dev enp6s0  proto kernel  scope host  src 192.168.0.20 
broadcast 192.168.0.255 dev enp6s0  proto kernel  scope link  src 192.168.0.20

所以基本上如果我发送任何流量到10.230.134.38, 127.0.0.0/8,127.0.0.1（多余的）、172.17.42.1、或192.168.0.20，流量将通过环回接口路由，即使这些 IP 实际上位于不同的接口上。

Answer

流量通过接口进行lo。

当 IP 添加到盒子时，该地址的路由将添加到“本地”表中。该表中的所有路由都通过环回接口路由流量。

您可以使用以下命令查看“本地”表的内容：

ip route show table local

在我的系统上看起来像这样：

local 10.230.134.38 dev tun0  proto kernel  scope host  src 10.230.134.38 
broadcast 10.230.134.38 dev tun0  proto kernel  scope link  src 10.230.134.38 
broadcast 127.0.0.0 dev lo  proto kernel  scope link  src 127.0.0.1 
local 127.0.0.0/8 dev lo  proto kernel  scope host  src 127.0.0.1 
local 127.0.0.1 dev lo  proto kernel  scope host  src 127.0.0.1 
broadcast 127.255.255.255 dev lo  proto kernel  scope link  src 127.0.0.1 
broadcast 172.17.0.0 dev docker0  proto kernel  scope link  src 172.17.42.1 
local 172.17.42.1 dev docker0  proto kernel  scope host  src 172.17.42.1 
broadcast 172.17.255.255 dev docker0  proto kernel  scope link  src 172.17.42.1 
broadcast 192.168.0.0 dev enp6s0  proto kernel  scope link  src 192.168.0.20 
local 192.168.0.20 dev enp6s0  proto kernel  scope host  src 192.168.0.20 
broadcast 192.168.0.255 dev enp6s0  proto kernel  scope link  src 192.168.0.20

所以基本上如果我发送任何流量到10.230.134.38, 127.0.0.0/8,127.0.0.1（多余的）、172.17.42.1、或192.168.0.20，流量将通过环回接口路由，即使这些 IP 实际上位于不同的接口上。

Question 2

您可以tcpdump与主机上的任何接口一起使用 ( tcpdump -i any ...)

Answer

您可以tcpdump与主机上的任何接口一起使用 ( tcpdump -i any ...)

Question 3

使用命名空间。（IMO，命名空间是 ip 命令真正带来的最好的东西。）

例如，我在我的设备上设置了一个客户端-服务器系统：

ip netns add client-ns
ip l add server type veth peer name client netns client-ns
ip l set server up
ip netns exec client-ns ip l set client up
ip netns exec client-ns ping <IPv6 Address of Server>

Ofc为了与IPv4通信，需要添加IPv4地址：

ip a add 10.0.0.1/24 dev server
ip netns exec client-ns ip a add 10.0.0.2/24 dev client

Answer

使用命名空间。（IMO，命名空间是 ip 命令真正带来的最好的东西。）

例如，我在我的设备上设置了一个客户端-服务器系统：

ip netns add client-ns
ip l add server type veth peer name client netns client-ns
ip l set server up
ip netns exec client-ns ip l set client up
ip netns exec client-ns ping <IPv6 Address of Server>

Ofc为了与IPv4通信，需要添加IPv4地址：

ip a add 10.0.0.1/24 dev server
ip netns exec client-ns ip a add 10.0.0.2/24 dev client

如何捕获虚拟接口上的流量？

答案1

答案2

答案3

相关内容