tcpdump: chụp một trong nhiều vlans

Tôi muốn tcpdump chụp Vlan 1000 hoặc Vlan 501. man pcap-filternói:

Biểu thức vlan [vlan_id] có thể được sử dụng nhiều lần, để lọc trên hệ thống phân cấp Vlan. Mỗi lần sử dụng biểu thức đó làm tăng độ lệch của bộ lọc lên 4.

Khi tôi làm:

tcpdump -vv -i eth1 \( vlan 1000 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \)

Tôi nhận được các gói bị bắt.

Nhưng khi tôi làm:

tcpdump -vv -i eth1 \( vlan 1000 or vlan 501 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \)

Tôi không nhận được bất kỳ gói tin nào - Tôi đoán là do hành vi "tăng thêm 4" được mô tả trong trang man.

Làm cách nào tôi có thể nắm bắt lưu lượng truy cập trên nhiều Vlan cùng một lúc?

Tôi nhớ rằng bạn có thể kiểm tra các byte gói trực tiếp. Vì vậy, nhìn trực tiếp vào tiêu đề ethernet hoạt động:

tcpdump -vv -i eth1 '( vlan and ( ether[14:2] & 0xfff == 1000 or ether[14:2] & 0xfff == 501 ) ) and ( ip host 10.1.1.98 or ip host 10.1.1.99 )'

Đừng quên rằng :2, đây là trường 2 byte - Tôi đã bị kẹt trên này một lúc.

Nó có thể được thực hiện theo cách đơn giản hơn là sử dụng gói kiểm tra sâu, chỉ cần sử dụng grep:

tcpdump -n -i eth1 -e | grep "vlan 1000" 

-e: In tiêu đề cấp liên kết trên mỗi dòng kết xuất.

nó sẽ in những dòng như

ethertype 802.1Q (0x8100), length 60: vlan 1000, p 0, ethertype ARP

có thể dễ dàng bắt bằng grep

Nếu bạn muốn bắt nhiều Vlan ID, bạn có thể sử dụng lệnh như:

tcpdump -n -i eth1 -e | grep "vlan 1000\|vlan 501"

Có vẻ như bộ lọc vlan thay đổi nội dung gói ....

http://www.christian-rossow.de/articles/tcpdump_filter_mixed_tagged_and_untagged_Vlan_traffic.php