4

発信トラフィックをダンプしています。LAN の外に向かう TCP および UDP パケットのみが必要です。tcpdump で次のフィルターを使用しました。

ip and (tcp or udp) and (not icmp) and src host myIPAddr and not dst net myNet/myNetBits and not ip broadcast

しかし、次のパケットをキャプチャしました。

###[ Ethernet ]###
  dst       = ff:ff:ff:ff:ff:ff
  src       = 00:1e:4a:e0:9e:00
  type      = 0x806
###[ ARP ]###
     hwtype    = 0x1
     ptype     = 0x800
     hwlen     = 6
     plen      = 4
     op        = who-has
     hwsrc     = 00:1e:4a:e0:9e:00
     psrc      = X.X.X.X
     hwdst     = 00:00:00:00:00:00
     pdst      = Y.Y.Y.Y
###[ Padding ]###
        load      = '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'

ここで何が起こったのですか?IP パケットだけをダンプしていると思いました。

4

2 に答える 2

1

ダンプを見ると、IP プロトコル タイプ (つまりptype = 0x800 ) のARPパケットを受信しました。ARP パケットも除外して、ダンプをクリーンアップする必要があります。tcpdump コードを見ると、これらの特定の ARP パケットも保持する理由がわかると思います (ただし、IP はこれらのパケットをネットワーク解決に使用するため、これらの ARP パケットは tcpdump によって IP の一部と見なされると思います)。 and (not arp)

敬具、
ボー

于 2012-06-05T14:06:36.857 に答える