今天尝试抓包遇到的尴尬事

今天心血来潮，想要试试抓取家里局域网内所有设备的网络包。于是我把我的NanoPi NEO接到了主路由器荣耀路由器Pro的LAN口上启动抓包。

先安装ifconfig并开启开启网卡eth0的混杂模式：

1
2
sudo apt install ifconfig -y
sudo ifconfig eth0 promisc

然后安装并启动tcpdump抓包：

1
2
sudo apt install tcpdump -y
sudo tcpdump

界面上出现了大量抓包信息，但是似乎大部分都是来源或目的是NanoPi NEO自己的。设置tcpdump过滤掉自己192.168.1.11的包：

1
sudo tcpdump host not 192.168.1.11

显示如下：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:50:49.882206 ARP, Request who-has 192.168.1.204 tell 192.168.1.1, length 46
12:50:50.712190 STP 802.1d, Config, Flags [none], bridge-id 8000.a8:0c:63:a2:51:19.8001, length 43
12:50:50.882197 ARP, Request who-has 192.168.1.204 tell 192.168.1.1, length 46
12:50:51.882240 ARP, Request who-has 192.168.1.204 tell 192.168.1.1, length 46
12:50:52.712198 STP 802.1d, Config, Flags [none], bridge-id 8000.a8:0c:63:a2:51:19.8001, length 43
12:50:54.391158 IP 192.168.1.1.6555 > 192.168.1.255.sge-execd: UDP, length 72
12:50:54.712313 STP 802.1d, Config, Flags [none], bridge-id 8000.a8:0c:63:a2:51:19.8001, length 43
12:50:56.712273 STP 802.1d, Config, Flags [none], bridge-id 8000.a8:0c:63:a2:51:19.8001, length 43
12:50:58.712298 STP 802.1d, Config, Flags [none], bridge-id 8000.a8:0c:63:a2:51:19.8001, length 43

似乎只有ARP包和广播包啊，试下去除ARP和广播包：

1
sudo tcpdump not arp and host not 192.168.1.11 and host not 192.168.1.255 and not stp and not ip6

显示如下：

1
2
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

没有抓到任何包。

等了一个小时，也没有抓到任何包。。。

于是我去查看网卡信息，确认混杂模式已经正常开启了。各项设置都是正常的。

头疼了。于是我就去搜索相关信息，直到某位大神言简意赅：家用路由器不刷系统是不能抓包的。