我有一台服务器从交换机上的镜像端口接收流量。连接到此镜像端口的接口处于 promisc 模式。当我在接口上只使用一个简单的捕获所有 tcpdump 时,比如
tcpdump -nn -i eth1
我看到了大量的流量。我什至可以针对某些内容(例如端口 443)进行 grep。
tcpdump -nn -i eth1 | grep 443
显然,这显示了任何包含 443 的内容,而不仅仅是端口 443。我已经目视检查了它,我确实看到了这样的东西:
15:08:08.112550 IP 12.34.56.78.1430 > 87.65.43.21.443: . ack 35124 win 32768
但我只想要端口 443 所以...
tcpdump -nn -i eth1 port 443
...
0 packets captured
奇怪的。当我使用过滤器时,我没有看到任何流量。我尝试过“ip 端口”、“dst 端口”和其他一些过滤器。我也尝试过按 IP 而不是端口过滤。没有。
eth1 Link encap:Ethernet HWaddr 00:24:81:A5:AD:7A
inet6 addr: fe80::224:81ff:fea5:ad7a/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:4114781478 errors:0 dropped:1 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 …tcpdump ×1