Как отфильтровать траффик tcpdump'ом по кретерию равенства адресов отправителя и получателя?

Question

[ReD]

Необходимо отследить пакеты содержащие одинаковые адреса отправителя и получателя, т.е. так:

src host = dst host

Но такая конструкция tcpdump'у не нравится:

syntax error

Можно как-то составить такое правило?

Comments

[ReD]

А если нужно отследить такие посылки с одного, конкретного хоста? При условии что этот хост получил по DHCP свой ip но некая сущность на этом хосте посылает в сеть пакеты с подменёнными src ip и dst ip?

[Ivan]

Если есть возможность отслеживать по MAC, а лучше блокировать такие "сущности" на порту: Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard

[ReD]

Ivan: Они и блокируется сразу на портах. Очень хочется выяснить что это такое и с чем связано. Думал отследить такие пакеты и попробовать проанализировать

[Ivan]

ReD: SPAN и смотрите.

[ReD]

Если бы в том месте Cisco свитчти стояли, то да. А так D-Link.

[Ivan]

ReD: "config mirror port" есть

[ReD]

Есть. Но нельзя перенаправить на другой устройство. А свитч расположен в труднодоступном месте.

[Ivan]

ReD: Не знаю есть ли у них RSPAN, но можно отзеркалить в порт, с него патчкорд в другой с нужным VLAN, и далее тащите его куда угодно, выключив mac learning.

[ReD]

RSPAN у D-Link нет. Поэтому нельзя отзеркалить на другое устройство никак. За советы большое спасибо!

[Ivan]

ReD: Можно же, выше написал.

Answer 1

[Сергей]

tcpdump src host and dst host

Answer 2

[Ivan]

tcpdump src and dst host IP

Comments

[Ivan]

"host" можно не указывать, подразумевается по умолчанию.