Re: [lugbe] tcpdump -i lo

[Patrik Schilt <patrik at bnc.ch>]

On Wed, Oct 31, 2001 at 10:56:38PM +0100, Mathias Gygax wrote:
> On Mit, Okt 31, 2001 at 10:23:56 +0100, Patrik Schilt wrote:
> > Hallo,
> 
> sali,
> 
> > Ich habe da ein Problemchen, ich sehe den Traffic nicht, den ich mit
> > 'telnet 127.0.0.1 119' produziere, wenn ich mit 'tcpdump -i lo tcp
> > port 119' sniffe. Das Problem tritt aber nur mit dem loop-back
> > interface auf. Muss ich da etwas speziell beachten?
> 
> das liegt an der libpcap.
> 
> tcpdump -p -i lo tcp port 119

Tut auch nicht.

> probieren.
> 
> generell ist tcpdump für ethernet sniffing ausgelegt und hat daher
> probleme mit dem loopback interface. bei debuggen von tcpdump ist mir
> aufgefallen, dass die tcp/udp daten auf lo ein AF_??? anstelle von
> AF_INET haben. tcpdump bekommt vom pcap offenbar einen falschen socket
> typ und kann das zeugs nicht identifizieren. ergo: kein output auf's
> terminal.
>
>
> nimm lieber gleich snort. der verwendet den gleichen BPF parser syntax
> und ist erst noch flexibler.
> 
> snort -dvi lo
> 
> in meiner potato version klappt's aber auch mit dem loopback nicht so
> recht.
> 
> ist wahrscheinlich ein libpcap problem.

Habe was gefunden, das Deine Annahme bestaetigt:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=31440

Werde wohl mit dem Problem leben muessen bis das gefixt ist.

Gruss,
Patrik