我有这样的设置:
________Company LAN_______
_________ . '| _________
| | .| BUNCH OF | |
| Server1 |--> . | SECURITY | MyHost |
|_________| .| |_________|
. |__________________________
我的主要目标是查看Server1发送了什么包裹。
Server1target IP定期将数据包发送到我可以更改的指定IP。如果我将其设置MyHost为目标 IP 并使用 Wireshark,由于公司的防火墙,我将无法捕获任何内容。
因此,我需要一个公司外部的服务器来运行嗅探器或者类似的东西,如下图所示:
________Company LAN_______
_________ _________ | _________
| | | | | BUNCH OF | |
| Server1 |--->---| Server2 | | SECURITY | MyHost |
|_________| |_________| | |_________|
| |__________________|_______
'------------------------------'
有类似的东西存在吗?还有其他想法吗?
答案1
使用 Wireshark 进行远程嗅探是一种替代方法
在 Server2 中运行 rpcapd 捕获其接收的流量,并从 MyHost 远程运行 wireshark。
当然,远程捕获守护程序和 Wireshark 之间的通信必须清除您的安全层。
答案2
答案3
一个不错的(免费)应用程序是 NTOPNGhttp://www.ntop.org/products/ntop/(早期的 NTOP)我已经用了很多年了。有了这个应用程序,你可以在你的网络中添加“探测器”,并以集中的方式收集这些数据。
但是,此应用程序不会像 Wireshark 那样为您提供深层次的信息,但它是跟踪网络流量和分析哪些数据包由谁发送的好方法(例如,如果您使用 span-port)。
NTOP 适用于很多 Linux 发行版。(例如 apt-get install ntop)