tcpdump 100mbit full duplex

k33n

k33n

knochenbrecher
Hi,
ich hab mir nach der Anleitung von http://www.snort.org/docs/tap/ einen passiven ethernet tap gebaut.

In meinem Freebsd rechner sind 3 Netzwerkkarten drin.
Eine im Netzwerk und 2 zum sniffen.

Wie kann ich nun einen einzigen tcpdump erzeugen.

Das Problem ist das laut der Anleitung auf TAP A halb dublex kommt und der Rest auf TAP B.

Oder Sollte ich das am besten gar nicht mit nem TAP machen???

Fragen über fragen...

Danke schonmal und schöne Grüsse K33n.
 
Entweder du kannst die beiden dumps irgendwie zusammenfuehren (haben ja timestamps) oder du bastelst ein virtuelles Interface, welches die Frames von beiden physischen aufnimmt. Evtl. kann hier netgraph helfen.
 
danke, tcpslice is cool.
kann es sein, dass ich an dem tap nur packete eine richtung mitbekomme? oder verstehe ich da was nicht richtig?

k33n
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben