4

ここに私のtcpdumpフィルターがあります (ip[8]は IP ttl フィールドでありicmp[0]=11、時間超過の ICMP メッセージに対応します):

(ip and ip[8]=2 and src host $myIPAddress) or (icmp and dst host $myIPAddress and icmp[0]=11)

そして、キャプチャファイルで見つけたものは次のとおりです。

>>> p.show()
###[ Ethernet ]###
  dst       = 00:15:f2:e3:90:e9
  src       = 00:11:43:e5:48:10
  type      = 0x800
###[ IP ]###
     version   = 4L
     ihl       = 5L
     tos       = 0xc0
     len       = 56
     id        = 19126
     flags     = 
     frag      = 0L
     ttl       = 254
     proto     = icmp
     chksum    = 0xa697
     src       = 127.0.0.1
     dst       = 127.0.0.1
     \options   \

ICMP localhostパケットをキャプチャしたのはなぜですか? とにかく、そのようなパケットの目的は何ですか? そして、最も重要なことは、なぜ上記のフィルターで拒否されなかったのでしょうか?

4

1 に答える 1

0

「$myIpAddress」とは何ですか? 文字通りIPv4アドレスでしたか?実際に FQDN またはホスト名に似たものであった場合、man ページで何が起こるかが説明されています。

http://www.tcpdump.org/manpages/pcap-filter.7.html

 host host
 (stuff removed)
 If host is a name with multiple IP addresses, each address will be checked for a match.

もしそうならどうなるかわかりません.おそらくIPはMACアドレスにマッピングされていますか?

-d の使用に関する Guy の提案が気に入っています。

于 2014-02-07T12:12:48.447 に答える