一个如何捕获虚拟接口上的流量？

我想捕获Linux虚拟接口上的流量，以进行调试。我一直在尝试veth，tun而且dummy接口类型; 在这三个方面，我都很难tcpdump显示任何东西。

这是我设置虚拟界面的方法：

ip link add dummy10 type dummy
ip addr add 99.99.99.1 dev dummy10
ip link set dummy10 up

在一个终端中，通过以下方式观看tcpdump：

tcpdump -i dummy10

一秒钟，用以下命令收听nc：

nc -l 99.99.99.1 2048

第三，使用发出HTTP请求curl：

curl http://99.99.99.1:2048/

尽管在2号航站楼中我们可以从curl请求中看到数据，但从中看不到任何数据tcpdump。

一个TUN / TAP教程澄清某些情况下，内核可能不会实际发送当一个本地接口上运行的任何数据包：

查看tshark的输出，我们什么都没看到。没有流量通过该接口。这是正确的：由于我们要对接口的IP地址执行ping操作，因此操作系统正确地确定不需要“在线”发送任何数据包，并且内核本身正在答复这些ping操作。如果您考虑一下，这就是您对另一个接口的IP地址（例如eth0）执行ping操作时将发生的情况：不会发送任何数据包。这听起来似乎很明显，但一开始可能会引起混乱（对我而言）。

但是，很难看到这如何适用于TCP数据包。

也许tcpdump应该以不同的方式绑定到接口？

流量通过lo接口。

将IP添加到框中后，该地址的路由将添加到“本地”表中。该表中的所有路由均通过环回接口路由流量。

您可以使用以下方法查看“本地”表的内容：

ip route show table local

在我的系统上看起来像这样：

local 10.230.134.38 dev tun0  proto kernel  scope host  src 10.230.134.38 
broadcast 10.230.134.38 dev tun0  proto kernel  scope link  src 10.230.134.38 
broadcast 127.0.0.0 dev lo  proto kernel  scope link  src 127.0.0.1 
local 127.0.0.0/8 dev lo  proto kernel  scope host  src 127.0.0.1 
local 127.0.0.1 dev lo  proto kernel  scope host  src 127.0.0.1 
broadcast 127.255.255.255 dev lo  proto kernel  scope link  src 127.0.0.1 
broadcast 172.17.0.0 dev docker0  proto kernel  scope link  src 172.17.42.1 
local 172.17.42.1 dev docker0  proto kernel  scope host  src 172.17.42.1 
broadcast 172.17.255.255 dev docker0  proto kernel  scope link  src 172.17.42.1 
broadcast 192.168.0.0 dev enp6s0  proto kernel  scope link  src 192.168.0.20 
local 192.168.0.20 dev enp6s0  proto kernel  scope host  src 192.168.0.20 
broadcast 192.168.0.255 dev enp6s0  proto kernel  scope link  src 192.168.0.20 

所以基本上，如果我发送任何流量10.230.134.38，127.0.0.0/8，127.0.0.1（冗余），172.17.42.1或者192.168.0.20，流量将被路由通过回环接口，即使这些IP地址是真正不同的接口上。

您可以使用tcpdump主机上的任何接口（tcpdump -i any ...）

这可以通过调用第二个系统（甚至可以是该主机上的VM）来实现。

您可以DNAT在OUTGOING表链中使用nat并将数据包重定向到内核无法控制的接口。您必须在此处反映它们：

iptables -t nat -A OUTPUT -p tcp -d 99.99.99.1 --dport 2048 \
  -j DNAT --to-destination 1.2.3.4