Сохранение всех без исключения входящих Ethernet-кадров на Linux?

Доброго времени суток, хабралюди!


По долгу службы я периодически снимаю дамп «паразитного» трафика через Wireshark (tshark, dumpcap).


Недавно мне попалась одна хитрая 800-ая циска с относительно древним IOS, которая на аплинк отсылала много мультикаст-трафика (по данным вышестоящего управляемого коммутатора). Увы, я не смог снять дамп для анализа; и пусть первичная проблема решена (обновили IOS), но я хочу решить и вторую — снимать весь трафик (L2 / L3) без исключения.


Детали конфигурации.

Имеются встроенный (eth0) и внешний USB (eth1) сетевые адаптеры.

Я объединяю их в сетевой мост:
# ifconfig eth0 promisc up
# ifconfig eth1 promisc up
# brctl addbr br0
# brctl addif br0 eth0
# brctl addif br0 eth1
# ifconfig br0 promisc upТаким образом, получается нечто вроде MITM, но в благородных целях.


Через мост в обе стороны спокойно ходит трафик (GRE-туннель, в частности), но мультикаст не ловится, увы.


Мысли вслух:
  • почему-то уверен, что ловить его надо именно на L2;
  • полагаю, что решение заключается в тонкой настройке сетевых интерфейсов через sysctl, но так и не подобрал верную комбинацию параметров;
  • в принципе, можно и через ulogd/Netfilter снимать трафик, осталось понять, куда воткнуть правило с "-j NFLOG".


Заранее спасибо за помощь!
  • Вопрос задан
  • 3726 просмотров
Пригласить эксперта
Ответы на вопрос 3
ntkt
@ntkt
Потомственный рыцарь клавиатуры и паяльника
ЕМНИП для хоста с точки зрения уровня L2 входящий мультикаст отличается только MAC-адресами. Если интерфейс в promisc mode то, по идее, адаптер не должен даже и смотреть на MAC адреса входящих пакетов и молча жрать их все.

А в Вашем случае мультикаст только не сниффится tcpdump'ом или же вообще не проходит через бридж?
Ответ написан
Melkij
@Melkij
PostgreSQL DBA
Простите, если не прав, но: tcpdump что-то не может ловить?
Ответ написан
mikes
@mikes
port mirror на коммутаторе не решает проблему с получением всего всего? Сразу отпадает необходимость в бридже.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы