Приветствую всех.

Вот столкнулся с непонятной для меня работой тспдампа. Задача ловить: "(пакеты арп с вланом) и (пакеты дхцп с вланом) и (пакеты дхцп просто без влана и без ничего)"

Думал что двух условий хватит "(апр с вланом) и (пакеты дхцп)". Вобщем не могу реализовать даже этого.

tcpdump -e -i eth1 "port bootps" - ловит дхцп, но не ловит если они с вланом tcpdump -e -i eth1 "vlan and port bootps" - ловит дхцп, но не ловит если они без влана.

tcpdump -e -i eth1 "(vlan and port bootps)or(port bootps)" - ловит дхцп если они с вланом. Но НЕ ЛОВИТ если они без влана, хотя после or стоит это условие. tcpdump -e -i eth1 "(port bootps)or(vlan and port bootps)" - ловит дхцп и ловит если дхцп с вланом... очень странно. Всего лишь [b]поменял условия местами.[/b]

Идём дальше. Надо подключить чтобы ещё ловило арп запросы с вланом: tcpdump -e -i eth1 "(port bootps)or(vlan and port bootps)or(vlan and arp)" - не работает! Вернее так: ловит дхцп запросы с вланом, ловит просто дхцп запросы. Но vlan and arp не ловит. При этом tcpdump -e -i eth1 "vlan and arp" ловит пакеты арп с вланом..

Бьём бубен дальше:

tcpdump -e -i eth1 "(vlan and arp)or(port bootps)or(vlan and port bootps)" - ловит [b]влан[/b]И[b]арп[/b], ловит [b]дхцп[/b]И[b]влан[/b]. НЕ ловит просто дхцп. tcpdump -e -i eth1 "(port bootps)or(vlan and arp)or(vlan and port bootps)" - ловит просто дхцп. Ловит [b]влан[/b]И[b]арп[/b]. НЕ ловит [b]дхцп[/b]И[b]влан[/b]

Прошу отозваться квалифицированных шаманов. Как подключить третье условие?

gentoo, tcpdump version 4.1-PRE-CVS_2009_11_06, libpcap version 0.9.7 обновил libpcap до version 1.0.1_pre20090812. Ничо не изменилось