我有一个具有多个网络接口的服务器。 我正在尝试运行网络监控工具,以便通过在路由器上使用sFlow标准来验证网络流量统计信息。 我在eth1接口的端口5600上获取了我的sFlow数据报。由于tcpdump,我能够看到生成的流量:
user@lnssrv:~$ sudo tcpdump -i eth1
14:09:01.856499 IP 10.10.10.10.60147 > 198.51.100.232.5600: UDP, length 1456
14:09:02.047778 IP 10.10.10.10.60147 > 198.51.100.232.5600: UDP, length 1432
14:09:02.230895 IP 10.10.10.10.60147 > 198.51.100.232.5600: UDP, length 1300
14:09:02.340114 IP 198.51.100.253.5678 > 255.255.255.255.5678: UDP, length 111
14:09:02.385036 STP 802.1d, Config, Flags [none], bridge-id c01e.b4:a4:e3:0b:a6:00.8018, length 43
14:09:02.434658 IP 10.10.10.10.60147 > 198.51.100.232.5600: UDP, length 1392
14:09:02.634447 IP 10.10.10.10.60147 > 198.51.100.232.5600: UDP, length 1440
14:09:02.836015 IP 10.10.10.10.60147 > 198.51.100.232.5600: UDP, length 1364
14:09:03.059851 IP 10.10.10.10.60147 > 198.51.100.232.5600: UDP, length 1372
14:09:03.279067 IP 10.10.10.10.60147 > 198.51.100.232.5600: UDP, length 1356
14:09:03.518385 IP 10.10.10.10.60147 > 198.51.100.232.5600: UDP, length 1440
似乎一切正常,但是,当我尝试用netcat读取数据包时,似乎这里没有数据包:
nc -lu 5600
实际上,sflowtool和nprobe都没有从端口5600读取任何内容。 哪里我错了?
答案 0 :(得分:1)
nc -lu 5600将在端口5600上打开一个套接字,这意味着它只会转储在该套接字中收到的包,即针对该特定地址和端口的包。
另一方面,即使没有将流量发送到特定服务器,tcpdump也会收集所有流量。
您的问题的两个原因:
a)您的主机IP不是198.51.100.232
b)还有一个正在侦听UDP端口5600的服务器正在抓取所有数据,因此,对于nc套接字没有任何余地。
答案 1 :(得分:0)
不确定它可以帮到这里,但在我的情况下它有帮助(我有类似的问题)所以我只是停止“iptables”像 服务iptables停止。 似乎tcpdump的工作级别低于iptable,ipdaple可以阻止数据报道进入更高级别。通过article,这个主题的nice picture很好。
