Tcpdump. Не читает сохраненные дампы при исп-ии фильтров

1

2

Добрый день! Проблема заключается в следующем: Имеется несколько серверов (допустим 2) с одинаковым железом, и одинаковым ПО. Оба сервера пишут трафик с помощью утилиты tcpdump

tcpdump -i eth1 -w /trafwrite/traf_

При попытке прочитать файл с использованием фильтра ничего не выдает, например:

файл --traf-- Пишу --tcpdump -r traf--

выдает информацию как положено. Берем любое существующее значение в этом файле (например IP адрес) пишу --tcpdump -r traf host IP--

Вот что выдает reading from file traf, link-type EN10MB (Ethernet) и на этом все.

ПС на другом сервере все работает как надо. ППС libpcap переустанавливал на самые новые/старые итд. tcpdump переустанавливал так же на новые и старые версии. Копировал фалйы с одного (рабочего) сервера на другой. Прошу помочь с данной проблемой

PPPS Всем спасибо! Проблема решена. Помог совет добавить в фильтр vlan and ...

Ссылка

←	Вопрос по PoestgreSQL

Exim, reject.log.

→

Контрольные суммы файлов сравни на всякий случай. Попробуй поставить wireshark и кинув иксы посмотреть чего оно покажет, что бы локализовать кто не прав tcpdump или libpcap.

pon4ik ★★★★★
(29.01.18 18:34:20 MSK)

1) попробуй с параметром "-n"

2) можно попробовать сравнить список библиотек, которые он подгружает, и проверить пакеты с ними

для начала просто ldd -V, если нечего интересного, тогда strace

как минимум libpcap под подозрением

Вот что выдает reading from file traf, link-type EN10MB (Ethernet) и на этом все.

«на этом всё» - это виснет, или не показывает ничего, но завершает работу, как будто под фильтр ничего не попало?

update

ППС libpcap переустанавливал на самые новые/старые итд. tcpdump переустанавливал так же на новые и старые версии.

не понял, на какие ещё версии? из дистрибутива ставь, а не как виндузятники

router ★★★★★
(29.01.18 18:48:15 MSK)
Последнее исправление: router 29.01.18 18:50:09 MSK (всего исправлений: 1)

про -n тебе уже сказали.

Есть еще одни грабли - если трафик с vlan-тегами.

Увидить их можно запустив «tcpdump -ner file»

Для правильно фильтрации в такм случае нужно добавить «vlan and» к фильтру.

vel ★★★★★
(29.01.18 19:19:03 MSK)

Ответ на: комментарий от vel 29.01.18 19:19:03 MSK

Спасибо, Ваш совет помог.

Вот как раз те грабли с vlan-тегами, добавив к фильтру vlan and все заработало.

ivanfranko
(30.01.18 08:46:00 MSK) автор топика

Ссылка

Ответ на: комментарий от pon4ik 29.01.18 18:34:20 MSK

Не прав был tcpdump. Спасибо за помощь.

ivanfranko
(30.01.18 08:46:45 MSK) автор топика

Ссылка

Ответ на: комментарий от router 29.01.18 18:48:15 MSK

1) Не помогло

2) Не понял как это сделать, но я запускал tcpdump с разными установленными библиотекми(версиями) libpcap

3) Завершает работу, будто таких (в данном случае адресов) нет.

4) Ставил все как с офф.сайта tcpd+libpcap. Имелись еще более старые версии как одного так и другого, пробовал различные вариации

ivanfranko
(30.01.18 08:49:16 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Вопрос по PoestgreSQL

Admin

Exim, reject.log.

→

Похожие темы