ちょっと悩んだので、メモ。
-tttt オプションを付ける。「t」を4つ
1 |
# tcpdump -nn -i eth0 -tttt |
-wで保存したファイルを後で読むとき(-r)も便利
1 2 3 |
# tcpdump -nn -i eth0 -w hoge.dump # tcpdump -nn -tttt -r hoge.dump |
tcpdumpを実行していると、以下のようなパケットが流れてちょっとうざい時がある。
1 2 3 4 5 6 |
# tcpdump -nn -i eth0 "! port 22" tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 10:19:37.862776 STP 802.1d, Config, Flags [none], bridge-id 8000.fe:00:00:26:eb:a4.8001, length 35 10:19:39.862782 STP 802.1d, Config, Flags [none], bridge-id 8000.fe:00:00:26:eb:a4.8001, length 35 10:19:41.862766 STP 802.1d, Config, Flags [none], bridge-id 8000.fe:00:00:26:eb:a4.8001, length 35 |
どうやら802.1d(スパニングツリー)用の、パケットのようだ。
恐らく仮想環境のLinux bridgeでSTPが有効になっていて流れているのだと思う。
tcpdumpに以下を指定すれば除外出来るとのこと。
not ether proto 0x42
実行はこんな感じ
1 |
# tcpdump -nn -i eth0 "! port 22" and "not ether proto 0x42" |