<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif">I can think of several potential differences. ​You may miss any bridge specific traffic (STP, LLDP) using the interfaces generated by the bridge itself.</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">If you have vlan tagged sub interfaces you might also miss that traffic if you were snooping a particular interface. Obviously you will miss any on-wire broadcast traffic specific to the layer1 connection a particular interface was connected to if you sniff on an individual device. </div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Basically unless you are trying to trouble shoot a physical link issue I would likely always use the container link when doing a packet dump, due to several edge cases. </div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">If your bridge node host is participating (i.e has an IP etc on the br0 device itself , rather than in the case of a container for Vtap&#39;s/Virtual machine nics&#39;) You would also miss the hypervisors/hosts traffic if you sniffed the contained nics.</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">-Joel</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 16 February 2015 at 15:35, The Q <span dir="ltr">&lt;<a href="mailto:theq@rogers.com" target="_blank">theq@rogers.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-CA" link="blue" vlink="purple"><div><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Hi all<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Assume that you have a linux bridge with two interfaces eth0 and eth1 enslaved to this bridge<u></u><u></u></p><p class="MsoNormal">What is the difference between sniffing the bridge and sniffing its interfaces?<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">tcpdump -i br0   vs tcpdump –i eth0<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Thanks<u></u><u></u></p><p class="MsoNormal">MiniME<u></u><u></u></p></div></div></blockquote></div><br></div>