Re: Что означает этот результат команды dmesg?

[Artem Chuprina <ran@ran.pp.ru>]

James Brown -> debian-russian@lists.debian.org  @ Mon, 30 Mar 2009 23:21:15 +0400:

 >>  JB> Мне действительно непонятно, во-первых, почему он работает в таком
 >>  JB> режиме, хотя я в него его не переводил.
 >>
 >> tcpdump запускал?  А сообщал ему, что не надо интерфейс в promisc?  Это
 >> ответ на первый вопрос.
 >>   
 JB> 1. Если чессно, то в мане tcpdump никак не могу найти команду, как
 JB> запускать эту команду в promisc, только упоминание, что она может
 JB> так работать. Или я совсем слепой идиот?! Давно хотел спросить, но
 JB> стесняюсь, а то меня тут итак тапками закидали :-)

Он так работает по умолчанию, если указан интерфейс.  Поэтому
специальной команды для этого там и нет.  Есть команда для отключения
этого поведения.

 JB> 2. Я почему-то думал что tcpdump - это чтобы снифить пакеты, а не
 JB> конфигурировать интерфейс сетевухи. И мне казалось, что promisc режим
 JB> интерфейса и tcpdump несколько разные вещи. Я не прав?

Прав.  Т.е. вот эта формулировка - правильная.  Судя по постановке
вопроса, впрочем, ты не вполне ее _имел в виду_.  Так вот, попробую
ответить на вопрос, который ты имел в виду.  Чтобы снифить все, что
пробегает через карточку, ее (драйвер) надо поставить в режим promisc.
Иначе пакеты, не адресованные системе, если и попадут в драйвер (я не
помню, до какого уровня они поднимаются), то уж точно не выйдут из
драйвера.

 JB>> И второе, почему если сам интерфейс работает в этом режиме, tcpdump

 >>  JB> показывает только соединения моей системы с роутером и внешним
 >>  JB> миром, и не показывает все остальное?
 >>
 >> tcpdump показывает только те пакеты, которые в принципе пробегали по
 >> проводу, воткнутому в твою карточку.  Вероятнее всего, это ответ на
 >> второй вопрос.
 >>
 JB> Ну да, он и показывает их. Но в promisc должен же все снифить, не
 JB> так?

Что он и делает.  Но только то, что видит карточка.  А вовсе не то, что
видит сетевой интерфейс машины www.yandex.ru :-)  Тебя же не удивляет,
что tcpdump не ловит трафик yandex.ru?

 JB> И чем отличается промиск режим работы tcpdump и промиск режим
 JB> работы интерфейса?

Ничем.  Это он и есть.

 JB> И если последний работает в этом режиме, что должна фиксировать
 JB> tcpdump по общему правилу?

Все пакеты, которые пробегают мимо твоей карточки.  И только их.

 >>  JB> P.P.S. На днях запускал ноут в публичном вайфае,
 >>  JB> на всякий случай через tcpdump и iptraf контролировал, идут ли
 >>  JB> tor-соединения через тор или напрямую. Вроде все работало
 >>  JB> нормально, однако после пары часов работы стало показывать
 >>  JB> соединения каких-то других пользователей, с другими ip.  Я был в
 >>  JB> ахуе, если чессно, т.к. ничего для этого не делал.  Перезагрузился,
 >>  JB> вроде перестало так работать. Может, меня в этом кафе атаковали?!
 >>
 >> Может, и атаковали.  А может, просто кто-то еще достал свой ноут...  Я
 >> не в курсе особенностей работы WiFi карточек.  Кажется, их поведение на
 >> предмет "слушать окружающую действительность" отличается от поведения
 >> Ethernet.

 JB> Было бы неплохо, если бы тот, кто в этом разобрался, написал. А то
 JB> как мне может показаться по сей рассылке, даже такие опытные спецы
 JB> как ты не полностью понимают работу WiFi (и еще в меня тапками
 JB> кидаетеся!!!)

А для того, чтобы кидаться тапком, совершенно не обязательно понимать
работу WiFi :-)
-- 
Чайник - это человек, который, наткнувшись на проблему, начинает громко
свистеть
	(c)vitus