LINUX.ORG.RU
решено ФорумAdmin

tcpdump в начале работы выплевывает случайные пакеты

 ,


0

3

Добрый, коллеги!

Есть сервер с Red Hat Enterprise Linux Server release 7.5 (Maipo).

На нем собираю логи по syslog (udp 514), и хочу проверить, приходят ли логи с определенного хоста:

tcpdump -i any -n "src host 10.108.4.12 and dst port 514"

Но tcpdump странно себя ведет - сразу после запуска выкидывает кучу пакетов не имеющих отношения к правилам tcpdump, и уже потом, спустя пару секунд начинает показывать только запрошенные пакеты:

...
14:33:49.594445 IP 172.28.147.30.asr > 172.28.214.16.45644: Flags [.], ack 118188, win 448, options [nop,nop,TS val 3082460849 ecr 3077697599], length 0
14:33:49.594445 IP 172.28.147.30.asr > 172.28.214.16.45644: Flags [.], ack 118188, win 448, options [nop,nop,TS val 3082460849 ecr 3077697599], length 0
14:33:49.594451 IP 172.28.214.19.32090 > 172.28.214.16.49596: Flags [.], ack 138842, win 693, options [nop,nop,TS val 3043467654 ecr 3077697599], length 0
14:33:49.594451 IP 172.28.214.19.32090 > 172.28.214.16.49596: Flags [.], ack 138842, win 693, options [nop,nop,TS val 3043467654 ecr 3077697599], length 0
14:33:49.594455 IP 172.28.214.19.32090 > 172.28.214.16.49596: Flags [.], ack 141738, win 693, options [nop,nop,TS val 3043467654 ecr 3077697599], length 0
14:33:49.594455 IP 172.28.214.19.32090 > 172.28.214.16.49596: Flags [.], ack 141738, win 693, options [nop,nop,TS val 3043467654 ecr 3077697599], length 0
-------- Отсюда идут нужные пакеты
14:33:49.928110 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 270
14:33:49.928110 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 270
14:33:55.128094 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 270
14:33:55.128094 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 270
14:33:55.128898 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 306
14:33:55.128898 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 306
14:34:00.330235 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 270
^C
5693 packets captured
5693 packets received by filter
0 packets dropped by kernel

Зачем он мне показывае все эти 172.28.147.30.asr > 172.28.214.16.45644 если я его не просил?

★★★

Последнее исправление: skyman (всего исправлений: 1)

И что покажет:

grep asr /etc/services

тоже интересно.

onhydro
()
Ответ на: комментарий от onhydro

Просто интересно - это oracle linux?

Нет, Red Hat. 

cat /etc/redhat-release

Red Hat Enterprise Linux Server release 7.5 (Maipo)

grep asr /etc/services

asr             7800/tcp                # Apple Software Restore
asr             7800/udp                # Apple Software Restore
skyman ★★★
() автор топика
Ответ на: комментарий от futurama

ip ad sh

Интерфейсов пару десятков - физичкские на шасси, в pcie, бонд, докер.

Тот куда приходит трафик - bond0. 

ip ad sh bond0

9: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc prio state UP group default qlen 1000
    link/ether 90:e2:ba:c9:5a:44 brd ff:ff:ff:ff:ff:ff
    inet 172.28.147.28/24 brd 172.28.147.255 scope global bond0
       valid_lft forever preferred_lft forever
    inet 172.28.147.30/24 brd 172.28.147.255 scope global secondary bond0:0
       valid_lft forever preferred_lft forever
    inet6 fe80::92e2:baff:fec9:5a44/64 scope link
       valid_lft forever preferred_lft forever


cat /etc/sysconfig/network-scripts/ifcfg-bond0

BONDING_MASTER=yes
BONDING_OPTS="miimon=100 mode=4 lacp_rate=1"
BOOTPROTO=none
DEFROUTE=yes
DEVICE=bond0
IPADDR=172.28.147.28
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=no
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_PRIVACY=no
NAME=bond0
NETMASK=255.255.255.0
NM_CONTROLLED=no
ONBOOT=yes
PEERDNS=no
PEERROUTES=yes
TYPE=Bond
USERCTL=no
UUID=5d3f71e5-083a-4a2b-a6cb-ba07326f1828
skyman ★★★
() автор топика
Ответ на: комментарий от skyman

Тот куда приходит трафик - bond0.

так и пиши tcpdump -i bond0 зачем any ?

futurama ★★★★★
()
Ответ на: комментарий от skyman

grep asr /etc/services

asr 7800/tcp # Apple Software Restore
asr 7800/udp # Apple Software Restore

Но там к слову и другие порты, не только этот. Я большую часть обрезал.

В последнем запуске такое например (пактов сотни, но довольно часто повторяются, как будто какая-то сесстя в кеше):

172.28.147.28.office-tools > 172.28.147.29.45544
172.28.154.18.33551 > 172.28.147.30.514
172.28.147.28.59058 > 172.28.147.29.office-tools
skyman ★★★
() автор топика
Ответ на: комментарий от skyman

Тогда, присоединяюсь к вопросу - что будет без any.

Ну и для смоук теста - попробуй tshark. Вдруг получится локализовать.

onhydro
()

Все очень просто!

У libpcap после открытия сокета есть небольшой интервал времени между привязкой к устройству и применением фильтра. При большом трафике от успевает принять пакеты до применения фильтра.

PS У тебя еще и пакеты дублируются из-за "-i any". Не используй его без крайней необходимости.

vel ★★★★★
()
Ответ на: комментарий от vel

Понял, спасибо за информацию!

Не был уверен куда именно приходят пакеты, поэтому и выбрал any.

С -i bond0 всё как надо - только по фильтру пакеты и без повторов.

Хотя всё равно странный ворклоу. Что мешает повторно профильтровать пакеты после активации фильтра. Впрочем, это лирика, я не сетевик и ответ получил.

Спасибо всем!

skyman ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin