我有一台 TG585v7 路由器,上面插着几台机器。在默认设置下,数据包只会传送到特定机器,但我希望能够设置监控其中一台机器上的所有网络流量,即当我的以太网卡处于混杂模式时,我需要拾取这些数据包。这可能吗?
指导这里有这个“mcastpromisc 使 IP 接口多播混杂。可选”,这是我要找的吗?这是否意味着我需要手动添加所有机器的 MAC 地址,以便能够接收发往它们的数据包?还是我运气不好,需要买一个更好的路由器?
答案1
从您链接的文档来看,ip ifconfig mcastpromisc这与多播流量有关。但是,第 310-312 页的语法应该可以复制流经端口 2 和 3 的所有流量到端口 1(捕获端口):
eth switch mirror capture 1
eth switch mirror egress 2 enabled
eth switch mirror ingress 2 enabled
eth switch mirror egress 3 enabled
eth switch mirror ingress 3 enabled
但需要注意的是,这尚未测试,因此语法可能会有所不同(获取帮助?),并且捕获比捕获端口带宽更多的流量可能会使您的路由器出现奇怪的事情(冻结,严重丢失数据包......)。
答案2
您也可以尝试使用伊特卡普嗅探您的 LAN。它有各种中间人技术 - 在 LAN 上最有用的是毒 ARP mitm 方法(假设您的默认网关是 192.168.1.254 - 这对于 Thomson 设备很常见 - 检查您的网络设置):
ettercap -T -M arp:remote /192.168.1.254/ //
这应该将所有流量重定向到运行 ettercap 的机器 - 一些设备设法避开了这种方法,但通常效果很好。
如果效果不佳,那么您可以全力以赴,使用以太网上的 PPP (PPPoE) 将路由器变成直通调制解调器桥接器 - 也可以使用 PPTP,但您必须检查这一点。这通常涉及在路由器上加载新配置(尽管有些路由器在设置时有桥接选项)并在家庭网络中的路由器机器上终止 PPPoE - 这还需要运行 DHCP 服务器,并且可能还需要某种形式的防火墙。有关设置的详细信息BE Thomson 盒子,有关与 Thomson/technicolor/Speedtouch 桥接的更多一般讨论请访问:forums.whirlpool.net.au/archive/1409575#r23290154