我的设置是一台将 wireshark 连接到 LAN 网络上的交换机的计算机。wireshark 所在的子网 IP 是 .0.# 。我想捕获子网 IP .0.# 和 .2.# 之间的流量。但是当我包含过滤器时:
tcp 和 ip.addr==192.###.2.# && ip.addr==192.###.0.# (其中 # 为数字),我没有看到这两个 IP 之间的流量?我 ping 了两个 IP,都没有问题!
那么这可能吗?通过单击“编辑过滤器”并输入上面的内容,我是否设置了正确的过滤器?
链接或教程非常棒!
答案1
您需要确保交换机将此流量发送到 Wireshark 机器所插入的端口。您可以通过多种方式执行此操作:
- 如果它是一个支持端口监控(也称为端口镜像或其他类似名称)的可管理交换机,您可以看到目标端点机器之一(或子网之间的路由器)插入了哪个端口,并将该端口镜像到您的 Wireshark 机器所在的端口。
- 如果您没有可管理的交换机,但恰好有集线器,则可以使用集线器代替交换机(或在交换机和其中一个流量端点之间使用)。不幸的是,没有千兆交换机,因此此解决方案仅在您能接受 10/100 mbit 速度时才有效。
- 在测试的其中一个端点或连接子网的路由器上运行 Wireshark。有时在测试涉及的某个设备上运行嗅探器可能会干扰测试,因此读者须知。