Доброго времени суток, хабралюди!
По долгу службы я периодически снимаю дамп «паразитного» трафика через Wireshark (tshark, dumpcap).
Недавно мне попалась одна хитрая 800-ая циска с относительно древним IOS, которая на аплинк отсылала много мультикаст-трафика (по данным вышестоящего управляемого коммутатора). Увы, я не смог снять дамп для анализа; и пусть первичная проблема решена (обновили IOS), но я хочу решить и вторую — снимать весь трафик (L2 / L3) без исключения.
Детали конфигурации.
Имеются встроенный (eth0) и внешний USB (eth1) сетевые адаптеры.
Я объединяю их в сетевой мост:
# ifconfig eth0 promisc up
# ifconfig eth1 promisc up
# brctl addbr br0
# brctl addif br0 eth0
# brctl addif br0 eth1
# ifconfig br0 promisc upТаким образом, получается нечто вроде MITM, но в благородных целях.
Через мост в обе стороны спокойно ходит трафик (GRE-туннель, в частности), но мультикаст не ловится, увы.
Мысли вслух:
- почему-то уверен, что ловить его надо именно на L2;
- полагаю, что решение заключается в тонкой настройке сетевых интерфейсов через sysctl, но так и не подобрал верную комбинацию параметров;
- в принципе, можно и через ulogd/Netfilter снимать трафик, осталось понять, куда воткнуть правило с "-j NFLOG".
Заранее спасибо за помощь!