wireshark solo mostrando el tráfico entrante

Navega tus respuestas
1

Estoy usando un concentrador ethernet DX-EHB4 de dynex con dos sistemas conectados a él, el escritorio de destino y otro de escritorio que ejecuta wireshark en modo promiscuo. Tengo un filtro en su lugar "host x.x.x.x", por lo que solo veo el tráfico de la dirección IP de destino.

En mi captura de paquetes, veo todo el tráfico entrante al sistema de destino, pero no el saliente. No puedo entender por qué esto es. Toda la documentación de Wirehark dice que tengo el tipo correcto de hub y estoy configurada correctamente para ver todo el tráfico hacia y desde el sistema de destino. ¿Qué está mal aquí?

    
pregunta linux1 26.09.2012 - 19:00
fuente

1 respuesta

1

La razón más simple es que el tráfico saliente no está saliendo por esa interfaz. ¿Estás seguro de que hay tráfico para capturar?

¿Tiene más de una interfaz conectada en este sistema? Si es así, puede tener enrutamiento asíncrono, donde el tráfico entrante y saliente sale por interfaces separadas. Mire su tabla de enrutamiento usando netstat -r (debería funcionar en la mayoría de los sistemas operativos), y observe qué interfaz es la mejor ruta para ese host. Si el tráfico se está enrutando a otra interfaz, corrija el problema de enrutamiento o realice una captura de paquetes en ambas interfaces a la vez.

Otra posibilidad es que esté filtrando el tráfico que está buscando. Asegúrese de que todos los filtros de captura estén desactivados, en lugar de hacer una captura. Detenga la captura y luego filtre los resultados. Intente usar ip.host == "x.x.x.x" y vea si ha capturado tanto el entrante como el saliente.

    
respondido por el GdD 26.09.2012 - 19:53
fuente

Lea otras preguntas en las etiquetas

¿Por qué el cliente OpenSSH en Mac OS X lanza silenciosamente un agente ssh para el usuario? ¿Por qué algunos sitios web tienen sus hashes en la misma área que el enlace de descarga? [duplicar]