Проблема с использованием фильтров в tcpdump и(или) tshark
Добрый день! Имеется сеть, с нее мне дают зеркало белого трафика (точно не знаю каким способом) на мой сервак, допустим на интерфейс eth5. Команда tcpdump -i eth5 выдает всю кучу трафика, все видно все показывается, но стоит добавить любой фильтр, будь то tcpdump -i eth5 port 80 , или tcpdump -i eth5 host x.x.x.x (где х.х.х.х хост, который 100% там есть!) или же любой другой, то в ответ тишина, будто бы ничего похожего нет. Команды типа tcpdump -i eth5 " vlan and host x.x.x.x", тоже результата не дает. PS команда tcpdump -i eth5 vlan даёт тот же результат что и tcpdump -i eth5.
Кусок трафика с командой tcpdump -i eth5 vlan -vvv
x.x.x.50.http > y.y.y.50.33992: Flags [.], cksum 0x7d12 (correct), seq 1229:2457, ack 518, win 7776, options [nop,nop,TS val 406095669 ecr 173397620], length 1228 17:35:53.399196 IP (tos 0x0, ttl 56, id 22575, offset 0, flags [DF], proto TCP (6), length 1280) x.x.x.50.http > y.y.y.50.33992: Flags [.], cksum 0x0916 (correct), seq 2457:3685, ack 518, win 7776, options [nop,nop,TS val 406095669 ecr 173397620], length 1228 17:35:53.399201 IP (tos 0x0, ttl 56, id 22576, offset 0, flags [DF], proto TCP (6), length 1280) x.x.x.50.http > y.y.y.50.33992: Flags [P.], cksum 0x2877 (correct), seq 3685:4913, ack 518, win 7776, options [nop,nop,TS val 406095669 ecr 173397620], length 1228 17:35:53.399204 IP (tos 0x0, ttl 64, id 49774, offset 0, flags [DF], proto TCP (6), length 52) y.y.y.50.33992 > x.x.x.50.http: Flags [.], cksum 0xd2a5 (correct), seq 518, ack 1229, win 65, options [nop,nop,TS val 173397646 ecr 406095669], length 0 17:35:53.399207 IP (tos 0x0, ttl 63, id 50532, offset 0, flags [none], proto UDP (17), length 1420)
или
5:53.399945 IP (tos 0x10, ttl 64, id 60890, offset 0, flags [DF], proto TCP (6), length 1420) y.y.y.41.ssh > z.z.z.89.54674: Flags [.], cksum 0x3de8 (correct), seq 4682024:4683392, ack 3081, win 222, options [nop,nop,TS val 894536314 ecr 2014337488], length 1368 17:35:53.399950 IP (tos 0x10, ttl 64, id 60891, offset 0, flags [DF], proto TCP (6), length 84) y.y.y.41.ssh > z.z.z.89.54674: Flags [P.], cksum 0x8f5d (correct), seq 4683392:4683424, ack 3081, win 222, options [nop,nop,TS val 894536314 ecr 2014337488], length 32 17:35:53.399953 IP (tos 0x10, ttl 64, id 60892, offset 0, flags [DF], proto TCP (6), length 1004) y.y.y.41.ssh > z.z.z.89.54674: Flags [P.], cksum 0xc8e7 (correct), seq 4683424:4684376, ack 3081, win 222, options [nop,nop,TS val 894536314 ecr 2014337488], length 952 17:35:53.399955 IP (tos 0x10, ttl 64, id 60893, offset 0, flags [DF], proto TCP (6), length 620) y.y.y.41.ssh > z.z.z.89.54674: Flags [P.], cksum 0x9fc6 (correct), seq 4684376:4684944, ack 3081, win 222, options [nop,nop,TS val 894536314 ecr 2014337488], length 568 17:35:53.399959 IP (tos 0x10, ttl 64, id 60894, offset 0, flags [DF], proto TCP (6), length 540) y.y.y.41.ssh > z.z.z.89.54674: Flags [P.], cksum 0xa024 (correct), seq 4684944:4685432, ack 3081, win 222, options [nop,nop,TS val 894536314 ecr 2014337488], length 488 17:35:53.399963 IP (tos 0x10, ttl 64, id 60895, offset 0, flags [DF], proto TCP (6), length 268) y.y.y.41.ssh > z.z.z.89.54674: Flags [P.], cksum 0x57ed (correct), seq 4685432:4685648, ack 3081, win 222, options [nop,nop,TS val 894536314 ecr 2014337488], length 216
PPS tcpdump -i eth5 port 80 tcpdump: WARNING: eth5: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth5, link-type EN10MB (Ethernet), capture size 65535 bytes ^C 0 packets captured 1762 packets received by filter 1685 packets dropped by kernel
Как видно из последнего, пакеты приходят, но вывода никакого нет.
