Re: tcpdump: Auflistung nach eingehenden/ausgehenden Ethernet-Frames
Moin,
On Mon, Apr 19, 2010 at 10:45:50PM +0200, Meinhard Schneider wrote:
> [...]
> Wie schon geschrieben: es geht um defekte Switches. Eine TTL gibt es nur in
> IP-Paketen, also OSI-Layer 3 aufw??rts. Die Switches werkeln aber auf OSI-Layer
> 2 - und Ethernet-Frames kennen keine TTL. Noch dazu kommt, dass die Switches
> wohl nur mit ARP-Paketen ping-pong spielen.
> Ich kann daher nicht unterschieden, ob ein Paket, was ich im tcpdump sehe, von
> der NIC gesendet oder empfangen wurde. Das m??sste das tcpdump mir schon
> anzeigen.
sollte das nicht mit einem Filter gehen, der Deinen Host, Deine IP oder
auch Deine Outerfaces ausschliesst? Alternativ koenntest Duch auch auf
Pakete filtern deren Source-IP denen der Switches entspricht, dann
fallen Deine eigenen im Prinzip ja auch durch ...
Eine echte Unterscheidung zwischen ein- und ausgehenden Paketen kann
tcpdump wohl (noch?) nicht leisten, da ja nur Pakete angezeigt werden
und das Paket an sich ja nicht "weiss" ob es eingegangen oder
abgeschickt wurde wenn es bei tcpdump vorbeischwimmt.
PS: Ich glaube ich habe mal irgendwo was ueber arpdump, arpalert
und/oder arpwatch gelesen ... Google weiss da sicher mehr.
Gruss
-- hgb
Reply to: