我在 Windows 上使用 wireshark 来捕获我的流量。
有没有办法捕获连接到同一 LAN 的其他计算机的流量。如果 wireshark 无法做到这一点,是否有其他工具可以做到这一点。
答案1
实现目标的一种方法是使用 arp 中毒工具,例如 Ettercap。您应该能够通过 Wireshark/tcpdump 获得所需的信息。
您遇到的问题是,以太网交换机的设计使其能够学习每个端口上的 MAC 地址,并根据 MAC 地址使用这些信息将以太网帧“路由”到正确的端口。这是为了减少与以太网集线器相关的冲突(如今您很少看到这种情况)。因此,您只会看到发往或源自您的 NIC 的以太网帧,包括广播以太网帧(例如 ARP),而不会看到外部流量。这是一件好事 :)
大多数托管交换机(不是哑桌面交换机)允许您指定端口镜像,以便所有以太网帧都复制到特定端口,您可以在该端口以混杂模式连接机器并使用 tcpdump/Wireshark 捕获“外部”以太网帧。
但是,这仍然不会让它们被 Wireshark/tcpdump 捕获。因此,您需要一种方法来充当感兴趣的主机和其网关之间的以太网桥,但又不实际处于路径中。使用 Ettercap,这是一个 arp 中毒工具。它通过发送“免费 arp”来欺骗您感兴趣的主机(和交换机),让您的机器 MAC 地址现在拥有旧 IP 网关的 IP。感兴趣的机器会在不知不觉中将所有网关/默认路由目的地流量发送到您的机器。您的机器现在将通过其 IP 堆栈转发数据包,就像它是网关一样。
如果交换机上启用了“端口安全”,这种方法就行不通了,这是一种常见的做法。这是通过阻止 IP 从一个以太网端口移动到另一个以太网端口的免费 arp 来阻止 arp 中毒。
答案2
如果您的交换机支持,您可以配置端口镜像/监控,这将允许交换机将监控端口上的流量镜像到监控端口。
答案3
这与工具无关,而是从您感兴趣的流量路径上的设备进行捕获。由于交换机仅在其目的地端口上传输数据包,而边缘设备不会看到其他两个设备之间的流量。通常的方法是从一个设备(即目标设备的网桥或路由器)进行捕获。