tcpdumpでキャプチャしたpcapファイルがあります。tcpdump -w out.pcap -ni eno1 host 192.88.99.1
pcapを見ることができます。
rful011@secmonprd13:~$ tcpdump -nr out.pcap -tttt | head
reading from file andy.tcpd, link-type EN10MB (Ethernet)
2023-04-11 11:54:52.046310 IP 130.216.15.171 > 192.88.99.1: IP6 2002:82d8:fab::82d8:fab > 2002:c058:6301::c058:6301: ICMP6, echo request, seq 43217, length 8
2023-04-11 11:54:52.164305 IP 192.88.99.1 > 130.216.15.171: IP6 2002:c058:6301::1 > 2002:82d8:fab::82d8:fab: ICMP6, time exceeded in-transit for 2002:c058:6301::c058:6301, length 56
2023-04-11 11:54:52.165665 IP 130.216.15.171 > 192.88.99.1: IP6 2002:82d8:fab::82d8:fab > 2002:c058:6301::c058:6301: ICMP6, echo request, seq 43218, length 8
ただし、フィルタリングしようとすると、出力は生成されません。
rful011@secmonprd13:~$ tcpdump -nr out.pcap -tttt ip6 net 2002::/16 | head
reading from file andy.tcpd, link-type EN10MB (Ethernet)
rful011@secmonprd13:~$
6to4トラフィックが見えない理由を調べている間、あきめ- この場合、bpfフィルタを選択し、TCPすべての6to4トラフィックをフィルタリングしました。TCPフィルタを削除した後、Arkimeは6to4トラフィックを記録します。
この問題はlibpcapの問題だと思いますか?私のUbuntuボックスにそして私のMacでも同じ状況が発生します!
すべてのプロトコルのフィルタリングが6to4をフィルタリングする理由を理解しています。したがって、他のトラフィックを正常にフィルタリングできるようにしながら、6to4トラフィックをキャプチャするbpfフィルタをどのように構築できますか?