ethernet - tcpreplay 输出的 tcpdump 与输入不匹配

Question

我有一个问题，在某些机器上，tcpdump 报告的 tcpreplay 输出的字节数与 tcpreplay 的输入不匹配。

具体来说，tcpdump 总是报告比提供给 tcpreplay 的 pcap 多 14 个字节。

为了复制，我使用以下命令在 scapy 中创建了一个简单的数据包： packet = Ether()/IP(dst='1.2.3.4')/TCP()/Raw(load='S:' + ('-' * 64) + ':E') wrpcap("tcp.pcap", packet)

我设置了虚拟接口： ip link add front1 type veth peer name back1 ifconfig back1 up ifconfig front1 up

使用以下命令监视接口的输入： sudo tcpdump -XX -Q out -i front1

然后发送生成的数据包： sudo tcpreplay -i front1 tcp.pcap

tcpdump 监视器产生： 0x0000: d4ae 52c1 2005 2c59 e547 2ca4 0800 4500 ..R...,Y.G,...E. 0x0010: 006c 0001 0000 4006 d31c 9e82 04e7 0102 .l....@......... 0x0020: 0304 0014 0050 0000 0000 0000 0000 5002 .....P........P. 0x0030: 2000 b4a6 0000 533a 2d2d 2d2d 2d2d 2d2d ......S:-------- 0x0040: 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d ---------------- 0x0050: 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d ---------------- 0x0060: 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d ---------------- 0x0070: 2d2d 2d2d 2d2d 2d2d 3a45 0000 0000 5400 --------:E....T. 0x0080: 0000 0000 0000 0000 ........

而原始文件的 tcpdump 会产生： 0x0000: d4ae 52c1 2005 2c59 e547 2ca4 0800 4500 ..R...,Y.G,...E. 0x0010: 006c 0001 0000 4006 d31c 9e82 04e7 0102 .l....@......... 0x0020: 0304 0014 0050 0000 0000 0000 0000 5002 .....P........P. 0x0030: 2000 b4a6 0000 533a 2d2d 2d2d 2d2d 2d2d ......S:-------- 0x0040: 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d ---------------- 0x0050: 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d ---------------- 0x0060: 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d 2d2d ---------------- 0x0070: 2d2d 2d2d 2d2d 2d2d 3a45 --------:E

也就是说，监视器生成的内容与附加了 14 个额外字节的文件相同。

无论输入的大小如何，这似乎都会发生。

我已验证此问题不会在其他机器上发生，但无法识别导致它发生的设置。

一些版本信息：

$ tcpreplay -V tcpreplay version: 3.4.4 (build 2450) (debug) Copyright 2000-2010 by Aaron Turner <aturner at synfin dot net> Cache file supported: 04 Not compiled with libdnet. Compiled against libpcap: 1.7.4 64 bit packet counters: enabled Verbose printing via tcpdump: enabled Packet editing: disabled Fragroute engine: disabled Injection method: PF_PACKET send() $ tcpdump --version tcpdump version 4.9.2 libpcap version 1.7.4 OpenSSL 1.0.2g 1 Mar 2016

在 Ubuntu 16.04.5 上运行

score 0 · Accepted Answer

这最终是由于以下错误报告中报告的 linux 内核 4.15.0 中的错误造成的：

https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1782544

ethernet - tcpreplay 输出的 tcpdump 与输入不匹配

1 回答 1

Related

Reference