Re: tcpdump -i wlan0 port bootpc
On Sun, Dec 30, 2018 at 10:06:21AM +0100, Wouter Verhelst wrote:
> On Sun, Dec 30, 2018 at 12:12:01AM +0100, Geert Stappers wrote:
> >
> > Hoi,
> >
> > Op een laptop zie ik met `sudo tcpdump -i wlan0` allerlei broadcasts
> > voorbij komen. Onder andere ARP.
> >
> > Nu wil ik in zoomen op DHCP requests en zeg dan
> > `sudo tcpdump -i wlan port bootpc`
> > maar dan zie die broadcasts _niet_ voorbij komen.
> >
> > Is dat in jullie network ook zo?
>
> Dat is normaal.
:-)
> Als je vraagt om alleen requests te zien over de "bootpc" poort,
> dan zie je geen requests die die poort niet gebruiken.
> Vermits ARP geen TCP of UDP-requests zijn, krijg je natuurlijk ook geen
> ARP requests met zo'n filter.
Net als de "ARP who has" is de "DHCP Discover" een ethernet broadcast.
Eigenschap van een ethernernet broadcast is die "overal" te zien is.
Dat ik gisterenavond op een wifi interface wel ARP zag, maar geen bootpc
vond ik dan ook vreemd.
Ik zie nu wel de bootpc packetten. Verschil ten opzicht van gisteren
is dat nu de (test) DHCP Discover vanaf echt ethernet komt ( i.p.v.
een andere wifi computer )
Waarom de "wifi to wifi broadcast" niet werkt is low prio voor mij.
Ik kan vooruit met de "ethernet originated DHCP Discover"
Dank
> Persoonlijk vind ik tcpdump niet echt handig voor dit soort dingen, en
> gebruik ik liever wireshark om zaken te filteren en bekijken. Dat doe je
> zo:
>
} sudo tcpdump -i wlan0 -w PCAPfile
> [... wacht ...]
> ^C
} wireshark PCAPfile
>
> en dan kan je gewoon filteren in de uitvoer...
>
Ja `wireshark PCAPfile` is fijner dan `tcpdump -r PCAPfile`.
Wireshark kan overigens "on the fly" capturen en filteren.
Groeten
Geert Stappers
--
Leven en laten leven
Reply to: