1

Я понял, что было 3 машины. машина 1,2 драм 3. Машина 2 пингует машину 1, я могу перехватить пакеты, используя tcpdump. Но mchine 2 отправляет ping на машину 3, тогда машина 1 не может захватить с помощью tcpdump. Этот процесс похож на Wireshark? не будет никаких пакетов, полученных на машине один, когда есть связь, инициированная между машиной 2 и машиной 3. Wireshark - это такой же инструмент, как tcpdump. Не будет никакого пакета, достигающего к Machine1, когда машина 2 и машина 3 обмениваются данными. Это правильно?

Чтобы было понятнее. Откройте две клеммы в машине 1 и инициируйте tcpdump в каждой клемме для источника как машина 2 и машина 3. Держите это в течение нескольких часов и давайте проанализируем пакеты. Итак, я делаю вывод, что wireshark такой же, как tcpdump. Он не может захватить запрос от машины 2 к машине 3

tcpdump -n src host 192.168.1.m2 -w output-m2-and-m3.pcap

tcpdump -n src host 192.168.1.m3 -w output-m3-and-m2.pcap

Пожалуйста, скажите мне свой комментарий

1 ответ1

0

machine 1 не заметит никакой связи между machine 2 и machine 3 в Wireshark.

Wireshark подключается к стеку сетевых драйверов и просматривает все пакеты, полученные этим сетевым адаптером.

В измененной среде пакеты от machine 2 к machine 3 никогда не достигнут machine 1 поскольку коммутатор не будет отправлять эти пакеты на порт, к которому подключена machine 1 .

В среде концентратора (хорошо, кто на самом деле использует концентратор там?) пакет передается на machine 1 поскольку все пакеты передаются на все машины, подключенные к концентратору. Однако сетевая карта может уронить ее (потому что она не предназначена для этой машины) изнутри еще до того, как она достигнет стека драйверов, в зависимости от карты. В любом случае, даже если концентратор все еще используется, WireShark, вероятно, также не будет знать об этих пакетах.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .