[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: tcpdump: Auflistung nach eingehenden/ausgehenden Ethernet-Frames

Hallo Meinhard,

Meinhard Schneider <meini@meini.org> wrote:
> folgende Frage zu tcpdump:
> Ich will mit tcpdump ein Ethernet-Interface abhören. Leider sieht man im
> tcpdump nicht, ob ein Paket von der Netzwerkkarte empfangen oder gesendet
> wurde. Normalerweise kann man das an den Nutzdaten erkennen - außer man hat den
> Verdacht, dass die Switches spinnen und man seine eigenen Pakete wieder zurück
> bekommt.
> Gibt es eine Möglichkeit dem tcpdump zu sagen, dass es anzeigen soll, ob das
> anzuzeigende Ethernet-Frame received oder transmitted wurde?

In man pcap-filter(7) habe ich nichts gefunden, was darauf hindeutet,
dass das geht. Aber Du könntest es vielleicht über die Statistik der
Schnittstelle (ip -s link) sehen, denn dann wird das Paket nochmal im
Eingang gezählt. Oder Du bastelst Dir mit iptables einen Filter für INPUT
und prüfst dort auf Pakete, die von Deiner IP‐Adresse kommen. Wenn die im
Input auftauchen, dann kommen sie von draußen.

Außerdem denke ich, dass Du die Pakete zwei Mal bei tcpdump sehen
müsstest, wenn sie der Switch Dir wirklich zurückgibt; das erste, das zum
Switch geschickt wurde, und das zweite, das (fälschlich) zurückkommt.

Schöne Grüße, Jörg.
-- 
Ein Mensch sieht ein und das ist wichtig,
nichts ist ganz flach und nichts ganz richtig.
                                               (Eugen Roth)
Reply to: