是否可以使用 Wireshark 嗅探流量,其中源 IP 和目标 IP 位于不同的子网(同一网络)上,并且它们都不是您的 IP?NIC 是 Intel 82579LM。
答案1
不,一般来说不是。
您的 NIC 必须能够看到流量。这意味着您自己的 (v)lan 之外发生的任何事情都是不可见的。
请注意,我说的是 (v)lan,因为这是第 2 层的事情。IP 子网(第 3 层)与此无关。
并且,除非交换机将其与 NIC 隔离,否则可以看到与您自己的 NIC 位于同一 (v)lan 中的任何内容。如今,大多数交换机都很智能,只会将流量发送到需要的地方。由于您自己的 NIC 不是其他两台计算机之间对话的一部分,因此它通常不会接收该流量。
正确监听 A 和 B 之间对话的最简单方法是在 A 或 B 与 LAN 之间放置一个简单的集线器(将所有流量传输到其所有端口),并让监控 PC 在同一个集线器上监听。
另一种可能性(但这需要具有此功能并可访问它们的托管交换机)是将 A 或 B 上的端口设置为所谓的 span-port 或 mirror-port(取决于供应商如何称呼它)。交换机会克隆该端口上所有流量的副本,并将其发送到您的 PC 所连接的端口。
答案2
芯片82579LM组支持混杂模式因此,只要您的驱动程序支持,它就没有理由不支持嗅探任意数据。但是您的交换机需要将所有数据发送到该端口。对于 Cisco 交换机,您可能需要查看Spanport 文档。
答案3
如果您可以控制其中一台机器,您还可以使用 rpcapd 进行远程 Wireshark 捕获。http://www.winpcap.org/docs/docs_40_2/html/group__remote.html