web-dev-qa-db-ja.com

tcpdump -i任意の混合モード

Tcpdump 4.1.1のmanページから(はい、私は古いことを知っています)

   -i     Listen  on interface.  If unspecified, tcpdump searches the 
          system interface list for the lowest numbered, configured up 
          interface (excluding loopback).  Ties are broken by choosing >               the earliest match.

          On Linux systems with 2.2 or later kernels, an interface 
          argument of ``any'' can be used to capture packets from all
          interfaces.
          Note  that captures on the ``any'' device will not be done in
          promiscuous mode.

誰もが最後の声明が正確に何を意味しているのかを明らかにすることができますか?多くのインターフェイスを持つIDSサーバーを使用していますが、tcpdump -i anyを使用すると、IDSサーバー宛てではないトラフィックが明確に表示されます。ただし、すでにすべてのインターフェイスを無差別モードにする別のサービスがあります。 -iを使用した場合、tcpdumpがインターフェイスをPROMISCモードにしないことを意味するのでしょうか?

linuxnetworkingtcpdump
3
deltaray

-iを使用した場合、tcpdumpがインターフェイスをPROMISCモードにしないことを意味するのでしょうか?

はい、それが私が意味したことです。 「any」デバイスは、すべてのデバイスを個別に開いてキャプチャしても機能せず、「パケットソケット」を開いて特定のデバイスにバインドする代わりに機能します(Linuxでそのデバイスをキャプチャする方法) 、バインドを解除したままにして、すべてのソケットをリッスンします。

無差別モードを設定するための呼び出しは、バインドされていないソケットでは失敗するため(かなり最近のカーネルでテストしました)、libpcapは「any」デバイスに対して無差別モードをオンにしません。

4
user44841