[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [lugbe] tcpdump -i lo

To: lugbe at lugbe.ch
Subject: Re: [lugbe] tcpdump -i lo
From: Mathias Gygax <mg at trash.net>
Date: Wed, 31 Oct 2001 22:56:38 +0100
In-Reply-To: <20011031222356.A8006 at bnc.ch>; from patrik at bnc.ch on Mit, Okt 31, 2001 at 10:23:56 +0100
Mail-Followup-To: lugbe at lugbe.ch
References: <20011031222356.A8006 at bnc.ch>
Sender: owner-lugbe at kalinka.catatec.ch
User-Agent: Mutt/1.2.5i

On Mit, Okt 31, 2001 at 10:23:56 +0100, Patrik Schilt wrote:
> Hallo,

sali,

> Ich habe da ein Problemchen, ich sehe den Traffic nicht, den ich mit
> 'telnet 127.0.0.1 119' produziere, wenn ich mit 'tcpdump -i lo tcp
> port 119' sniffe. Das Problem tritt aber nur mit dem loop-back
> interface auf. Muss ich da etwas speziell beachten?

das liegt an der libpcap.

tcpdump -p -i lo tcp port 119

probieren.

generell ist tcpdump für ethernet sniffing ausgelegt und hat daher
probleme mit dem loopback interface. bei debuggen von tcpdump ist mir
aufgefallen, dass die tcp/udp daten auf lo ein AF_??? anstelle von
AF_INET haben. tcpdump bekommt vom pcap offenbar einen falschen socket
typ und kann das zeugs nicht identifizieren. ergo: kein output auf's
terminal.

nimm lieber gleich snort. der verwendet den gleichen BPF parser syntax
und ist erst noch flexibler.

snort -dvi lo

in meiner potato version klappt's aber auch mit dem loopback nicht so
recht.

ist wahrscheinlich ein libpcap problem.

Follow-Ups:
- Re: [lugbe] tcpdump -i lo
  - From: Patrik Schilt <patrik at bnc.ch>

References:
- [lugbe] tcpdump -i lo
  - From: Patrik Schilt <patrik at bnc.ch>

Prev by Date: Re: [lugbe] tcpdump -i lo
Next by Date: Re: [lugbe] tcpdump -i lo
Prev by thread: Re: [lugbe] tcpdump -i lo
Next by thread: Re: [lugbe] tcpdump -i lo
Index(es):
- Date
- Thread