为什么 echo 请求没有显示在 tcpdump 中?

tag-icon tag-icon ping tcpdump
为什么 echo 请求没有显示在 tcpdump 中?

我有两个使用 IPSEC-VPN 隧道连接的网段:

  • NET#1:ab0.0/16,LAN 网关为 ab0.1
  • NET#2:xy0.0/16,LAN 网关为 xy130.1

我从 ab0.1 向 xy130.100 发起 ping 操作,并启动 tcpdump。稍后会显示回显回复数据包,但不会显示回显请求数据包。

这正常吗?我怎样才能获取回显请求数据包?

以下是一个示例测试会话:

PING:

# ping x.y.130.100
PING x.y.130.100 56(84) bytes of data.
64 bytes from x.y.130.100: icmp_seq=1 ttl=63 time=1.87 ms
64 bytes from x.y.130.100: icmp_seq=2 ttl=63 time=1.38 ms
64 bytes from x.y.130.100: icmp_seq=3 ttl=63 time=1.27 ms
64 bytes from x.y.130.100: icmp_seq=4 ttl=63 time=3.93 ms
64 bytes from x.y.130.100: icmp_seq=5 ttl=63 time=1.15 ms
64 bytes from x.y.130.100: icmp_seq=6 ttl=63 time=1.16 ms

TCPDUMP:

# tcpdump -nn 'icmp and (src a.b.0.1 or dst a.b.0.1)'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
13:54:27.607103 IP x.y.130.100 > a.b.0.1: ICMP echo reply, id 22607, seq 1, length 64
13:54:28.608433 IP x.y.130.100 > a.b.0.1: ICMP echo reply, id 22607, seq 2, length 64
13:54:29.610167 IP x.y.130.100 > a.b.0.1: ICMP echo reply, id 22607, seq 3, length 64
13:54:30.614716 IP x.y.130.100 > a.b.0.1: ICMP echo reply, id 22607, seq 4, length 64
13:54:31.613417 IP x.y.130.100 > a.b.0.1: ICMP echo reply, id 22607, seq 5, length 64
13:54:32.615054 IP x.y.130.100 > a.b.0.1: ICMP echo reply, id 22607, seq 6, length 64

答案1

该答案假设 Linux 作为操作系统。

输出不能以纯文本形式被捕获tcpdump:之前已经加密过tcpdump有机会看到它和它的icmp过滤器将不匹配。加密后的输入将作为纯文本有效负载返回:tcpdump捕获两者,但它的icmp过滤器将在第二段中匹配。

Netfilter 和 General Networking 中的数据包流提供了有关此问题的线索(您必须单击才能查看详细信息):

Netfilter 和常规网络中的数据包流

在右侧(输出):

  • 明文数据包到达xfrm 查找并作为加密的有效载荷通过xfrm 编码

  • tcpdump稍后在 AF_PACKET 处捕获最终结果。这与 ICMP 不匹配,过滤器不会显示任何内容

在左侧(输入):

  • 加密的有效载荷到达并被 AF_PACKET 捕获tcpdump:这与 ICMP 不匹配,因此不会显示
  • 数据包到达 xfrm/socket 查找并通过以下方式进行解码xfrm解码
  • 现在解码的纯文本有效载荷是通过 AF_PACKET 专门发送的:这次tcpdump会看到一个 ICMP 数据包
  • 明文有效载荷遵循现在通常的路由

实际上在某些情况下(当启用 IPSec 压缩并且数据包是短数据包时),中间内部数据包可能会出现另一个循环,如下所示伊皮普协议。

如果您想获取传出的流量,这里有一些建议:

  • 您必须添加类似 的内容or esp,但当然它不会被解码,除非-E设置了具有足够机密的适当选项(我对此不太了解)。我不知道tcpdump也可以udp port 4500通过这种方式解码 NAT-T()。
  • 使用iptables或者nftables将数据包复制到虚拟接口。tcpdump可以通过这个接口进行捕获。
  • 使用iptables或者nftables将整个数据包记录到日志设施。tcpdump可以通过这个伪接口进行捕获。

答案2

回复是否有可能从与运行 tcpdump 的接口(eth0)不同的接口(也许是用于 IPSec?)发出?

相关内容