ฉันใช้ tcpdump มาประมาณหนึ่งเดือนแล้วและเมื่อเร็ว ๆ นี้มันหยุดการจับแพ็คเก็ตที่ไม่ได้ส่งไปยังหรือจากคอมพิวเตอร์ที่ใช้ tcpdump ฉันถอดคำสั่งของฉันเป็นเพียง:
sudo tcpdump -i en2
ฉันได้ตรวจสอบอินเทอร์เฟซของฉันด้วย ifconfig และ en2 อยู่ในโหมด "PROMISC" เมื่อระบุโฮสต์เฉพาะเป็นตัวกรองฉันเห็นข้อความ "arp" เพียงไม่กี่ตัวเท่านั้น แต่ไม่มีอะไรเทียบกับสิ่งที่เกิดขึ้นจริงในเครือข่าย
ความคิดใดที่ว่าทำไมสิ่งนี้ถึงเกิดขึ้น ชื่นชมมากถ้าทุกคนสามารถให้คำแนะนำได้!
ริชาร์ด
คำตอบ:
บางทีเครือข่ายของคุณเพิ่งได้รับการอัพเกรดจากฮับเป็นสวิตช์ สวิตช์เรียนรู้ว่าพอร์ตใดที่อยู่ MAC ที่ระบุเชื่อมต่ออยู่และส่งต่อการรับส่งข้อมูลสำหรับที่อยู่ MAC นั้นไปยังพอร์ตหนึ่งเท่านั้น มัลติคาสต์และการออกอากาศ (เช่น ARP) ยังคงไปที่พอร์ตทั้งหมด
ในการดูทราฟฟิกแบบ unicast สำหรับโฮสต์อื่น ๆ ในขณะที่เชื่อมต่อกับสวิตช์โซลูชันทั่วไปคือการใช้สวิตช์ที่จัดการได้ซึ่งรองรับ "port mirroring" ซึ่งคุณสามารถกำหนดค่าให้คัดลอกทราฟฟิกทั้งหมดที่ผ่านพอร์ตบางพอร์ตเพื่อคัดลอก ไปยังพอร์ตที่สองที่พอร์ตดมกลิ่นของคุณเชื่อมต่ออยู่
นอกจากนี้ยังมีเครื่องมือแฮ็กเกอร์ไอชที่คุณสามารถใช้เพื่อดูการรับส่งข้อมูลแบบ unicast ของอุปกรณ์อื่นบนเครือข่ายที่สับเปลี่ยนเช่นการใช้เครื่องมือวางยาพิษ ARP เพื่อให้เครื่องอื่นส่งการรับส่งข้อมูลให้คุณราวกับว่าคุณเป็นเราเตอร์เริ่มต้นของเครือข่าย
เมื่อtcpdumpทำงานโดยไม่มี-nตัวเลือกมันจะทำการค้นหา DNS สำหรับที่อยู่ IP ที่เห็นซึ่งสามารถอธิบายได้ว่าทำไมคุณไม่เห็นแพ็กเก็ตทันทีที่มาถึง จากtcpdump manpage :
-n Don't convert addresses (i.e., host addresses, port numbers, etc.) to names.
ฉันมักจะใช้ tcpdump กับ-nตัวเลือกเพื่อหลีกเลี่ยงปัญหานี้:
sudo tcpdump -n -i en2