Linuxルーターのtcpdump出力について

Linuxルーターのtcpdump出力について

私のルータにはatm01つのインターフェイスと1つのWAN IPアドレスを持つ1つのVLAN(atm0.1)インターフェイスがあります。atm0.1

を使用すると、tcpdump -i atm0キャプチャされたパケットは発信パケット(LANからWANへ)のみになります。

05:34:19.504895 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29184, length 40
05:34:20.506885 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29440, length 40
05:34:21.507868 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 29696, length 40

を使用すると、tcpdump -i atm0.1キャプチャされたパケットに送信されるパケットと着信パケットの両方が含まれます。

05:36:33.517705 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30208, length 40
05:36:33.827969 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30208, length 40
05:36:34.519715 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30464, length 40
05:36:34.685847 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30464, length 40
05:36:35.521643 IP 10.110.51.83 > 74.125.71.104: ICMP echo request, id 768, seq 30720, length 40
05:36:35.679061 IP 74.125.71.104 > 10.110.51.83: ICMP echo reply, id 768, seq 30720, length 40

なぜ?

Linuxのバージョンは2.6.30で、atmドライバはbroadcomで提供されています。

答え1

これは珍しいことではありません。 libpcapがネットワークトラフィックを傍受するためにフックを設定するポイントは、常にすべてのトラフィックをキャプチャする正しい場所ではない可能性があります。結局のところ、仮想インターフェイスは物理インターフェイスの完全なレプリカを作成するのではなく、機能セット(通常は速度に最適化されている)にすぎません。 VLAN、Tun / Tapインターフェイス、およびブリッジで非対称トラフィックキャプチャが発生する可能性があります。常に無差別モードまたは通常モードでキャプチャを試してください。

答え2

これは、トラフィックパスが次のようになるために発生します。

application -> atm0 -> atm0.1 -> destination
destination -> atm0.1 -> application

関連情報