У меня есть небольшая локальная сеть, в которой есть два компьютера, подключенных к модему-маршрутизатору. Я хочу перехватить пакеты, идущие от маршрутизатора к определенному серверу (я знаю IP-адрес сервера).
Производитель маршрутизатора - D-Link.
4 ответа
10
Если вы запускаете DD-WRT на своем домашнем маршрутизаторе, вы можете запустить tcpdump непосредственно на маршрутизаторе, а вывод будет возвращен в вашу локальную систему для дальнейшей обработки.
Пример:
ssh root@192.168.1.1 -c "tcpdump -v -w - -i eth2" > mypackets.pcap
Просто нажмите Ctrl-C, когда закончите, и загрузите файл захвата в ваш любимый инструмент анализа, такой как Wireshark.
5
Сначала вам придется встать между всем этим движением. Вы можете сделать это несколькими способами, самый простой из которых, вероятно, состоит в том, чтобы определить, действительно ли вам нужен трафик с обоих компьютеров или только трафик с одного компьютера.
Если вам нужны оба, подключите компьютеры к концентратору, а затем к маршрутизатору. Концентратор будет отправлять весь сетевой трафик на все порты, где коммутатор будет отправлять его только по назначению.
Если у вас есть только коммутатор, я полагаю, вы могли бы установить один компьютер в качестве шлюза и направить на него второй компьютер, но это грязно.
Если вам нужен весь трафик, даже маршрутизатор, разместите концентратор за маршрутизатором и подключите к нему компьютер. Это, вероятно, будет работать только в том случае, если трафик, который вы пытаетесь перехватить , не исходит от компьютера, который вы используете для перехвата пакетов, в противном случае вы собираетесь работать в более грязной конфигурации.
Как только у вас будет весь трафик, проходящий через сетевую карту вашего компьютера, возьмите анализатор пакетов (я на самом деле предпочитаю Windows Network Monitor, а не Wireshark) и начните захватывать пакеты. Вы, вероятно, захотите отфильтровать трафик, чтобы просто отобразить рассматриваемый сервер. Фильтры в Microsoft Network Monitor очень удобны для пользователя:
0
Если пакеты не исходят от самого маршрутизатора (возможно, но маловероятно), пакеты должны приходить с одного из подключенных компьютеров. В этом случае вы можете использовать анализатор пакетов. SmartSniff чрезвычайно прост в использовании и может быть настроен для захвата и / или отображения только подключений к / от определенного IP- адреса , порта и т.д.
0
Используя маршрутизатор или коммутатор корпоративного уровня, вы сможете зеркалировать порт и использовать для этого программу захвата пакетов, например, wireshark или netmon. С маршрутизатором D-Link, действительно нет никакого способа сделать это встроенным.
Одним из решений было бы получить сетевой концентратор (не коммутатор, а концентратор) и разместить его во внутренней сети. Затем подключите восходящий канал от концентратора к порту вашего маршрутизатора. Вы создали ситуацию, когда весь трафик, входящий и выходящий из вашей сети, будет попадать на все сетевые адаптеры вашей машины, потому что вы используете концентратор. Если вы сделаете это, вы сможете запустить wireshark или netmon в случайном режиме и захватить весь этот трафик. Запись фильтра для изоляции трафика от / к конкретному IP-адресу является тривиальной задачей.