Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

ошибки tcpdump при использовании булевых фильтров host

На чтение 5 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Теория
  4. Пример
  5. Применение

Вопрос или проблема

Я получаю ошибку “Conflict merging filters on src ip”, когда использую tcpdump с булевыми фильтрами хоста, например, tcpdump -nni nt:0 host 10.1.1.1 and host 10.1.1.2.

Я получаю следующую ошибку при использовании tcpdump с булевыми фильтрами хоста:

sudo /usr/local/bin/tcpdump -nni nt:0 host 10.1.1.1 and host 10.1.1.2
[debug][rules.c:323] Conflict merging filters on src ip

Производитель сетевой карты говорит, что это проблема с двоичными файлами libpcap и не предоставляет поддержку. Фильтры работают нормально на других встроенных интерфейсах.

Я пробовал все варианты одинарных или двойных кавычек, скобок и т.д. с теми же результатами.

Однако, если я расширяю это, чтобы указать исходные и целевые IP, это работает.

sudo /usr/local/bin/tcpdump -nni nt:0 '(src host 10.1.1.1 and dst host 10.1.1.2) or (dst host 10.1.1.1 and src host 10.1.1.2)'
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on nt:0, link-type EN10MB (Ethernet), snapshot length 262144 bytes

tcpdump --version
tcpdump version 4.99.1 
libpcap version 1.10.1 (with TPACKET_V3) 
OpenSSL 1.1.1k FIPS 25 Mar 2021

Мы используем PF_RING и сетевые карты Napatech. Кто-то на другом форуме сказал, что ошибка возникает из-за PF_RING. Я обновил это и драйверы сетевых карт, но без результата.

Любая помощь будет признательна.

Ответ или решение

При возникновении ошибок с использованием tcpdump и логических фильтров host, таких как указанные в вашем вопросе, могут появляться сообщения об ошибках вроде "Conflict merging filters on src ip". Такая ситуация может быть вызвана комбинацией нескольких факторов, связанных с взаимодействием сетевого оборудования и программного обеспечения, которым оно управляется. Разберемся, в чем может заключаться проблема и как ее можно решить.

Теория

Tcpdump — это утилита командной строки для захвата сетевых пакетов и анализа сетевого трафика. Она работает совместно с библиотекой libpcap, которая предоставляет интерфейс для захвата пакетов. В вашем случае, вы сталкиваетесь с проблемой, когда сочетания фильтров вида "host IP1 и host IP2" вызывают сбой. Проблема заключается в том, что логика фильтрации tcpdump, в данном случае, подразумевает, что либо IP-адрес должен быть источником и одновременно назначением, что в контексте одного пакетного фильтра невозможно.

Ваш сетевой адаптер, поддерживаемый Napatech и управляемый PF_RING, демонстрирует аномалии в обработке данных, о чем свидетельствует ошибка "Conflict merging filters on src ip". PF_RING — это высокопроизводительное сетевое ядро, которое улучшает захват пакетов, но иногда может испытывать проблемы с нестандартными сценариями фильтрации.

Пример

Ваш пример с использованием команды: 

sudo /usr/local/bin/tcpdump -nni nt:0 host 10.1.1.1 and host 10.1.1.2

приводит к вышеупомянутой ошибке, в то время как командой:

sudo /usr/local/bin/tcpdump -nni nt:0 '(src host 10.1.1.1 and dst host 10.1.1.2) or (dst host 10.1.1.1 and src host 10.1.1.2)'

ошибок удается избежать. В последнем случае, вы явно указываете на логику фильтрации, которая может быть корректно интерпретирована gpsc.

Применение

Для решения вашей проблемы, вы можете предпринять следующие шаги:

  1. Уточнение фильтров: Как уже указано выше, попытайтесь избегать двусмысленности в фильтрах, используя более подробные сценарии фильтрации, которые явным образом различают источники и назначения.

  2. Проверка версии software: Убедитесь, что используемые вами версии tcpdump, libpcap, PF_RING и драйверов сетевого оборудования являются последними стабильными и совместимыми между собой. Иногда использование более ранней версии может стабилизировать ситуацию.

  3. Конфигурация PF_RING: Проверьте настройки PF_RING. Возможно, вам следует изменить определенные параметры конфигурации для улучшения совместимости с libpcap и удостовериться, что используемые вами настройки адаптера оптимальны для вашей среды.

  4. Дополнительные лог файлы и диагностика: Разверните логирование и диагностику до уровня DEBUG в PF_RING и tcpdump, чтобы лучше понять, откуда исходит ошибка. Это также поможет в связи с поддержкой Napatech или PF_RING, если будет необходимо привлечь их специалистов.

  5. Обратитесь к сообществу: Размещайте ваши выводы и вопросы на технических форумах и mailing-листах, связанных с PF_RING и Napatech. Часто комьюнити может предложить нестандартные решения для конкретных сценариев использования.

  6. Документация и подкрепление: Ознакомьтесь с последними версиями документации от Napatech и PF_RING. Там могут быть указаны известные проблемы и пути их решения.

И, в заключение, возможность соединения всех частей вашей сетевой инфраструктуры — от сетевого оборудования до программного обеспечения для захвата пакетов — это непростая задача, особенно в условиях высокопроизводительных и требовательных сетевых сред. Исходя из собственного опыта и знаний, могу сказать, что важно не только точно настраивать каждую деталь, но и постоянно следить за их взаимодействием и обновлением.

В данном случае, установка конкретных фильтров для source и destination IP на уровне архетипа сценария, как приведено вами, является логически правильной и практической. Это устраняет двусмысленность, которую libpcap может не корректно обработать, особенно в паре с высокоскоростными адаптерами Napatech через PF_RING.

filter tcpdump
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности