我在Windows上使用wireshark捕获我的stream量。
有没有办法来捕获连接到同一局域网的其他计算机的stream量。 如果wireshark不可能的话,还有其他工具可以做到这一点。
实现你想要的一种方法是使用arp中毒工具,比如Ettercap。 你应该能够通过Wireshark / tcpdump你所需要的信息。
您所遇到的问题是,以太网交换机的devise使其能够了解每个端口上的MAC地址,并根据其MAC地址将以太网帧“路由”到正确的端口。 这是为了减less与以太网集线器相关的冲突(这些日子你很less看到)。 因此,您将只能看到发往或来自NIC的以太网帧,包括广播以太网帧(如ARP),而不是外部通信。 这是一件好事:)
大多数pipe理型交换机(不是愚蠢的桌面型)允许您指定一个端口镜像,以便所有的以太网帧都被复制到特定的端口上,您可以在混杂模式下连接一台机器,并使用tcpdump / Wireshark捕获“外部”以太网帧。
但是,这仍然不会让它们被Wireshark / tcpdump捕获。 所以你需要一种方式来充当感兴趣的主机和它们的网关之间的以太网桥,但是不需要物理上的path。 进入一个arp中毒工具Ettercap。 它哄骗你感兴趣的主机(和交换机),你的机器MAC地址现在通过发送一个“免费ARP”来拥有旧的IP网关的IP。 有趣的机器会不知不觉地将所有网关/默认路由指定的stream量发送到您的机器。 您的机器现在将通过其IP堆栈转发数据包,就好像它是网关一样。
在这种情况下,如果在交换机上启用了“端口安全”function,这种做法并不罕见。 这是通过阻止IP从一个以太网端口移动到另一个以太网端口的免费arp来阻止arp中毒。
如果您的交换机支持它,您可以configuration端口镜像/监控,这将允许交换机将监控端口上的stream量镜像到监控端口。
这不是关于工具的,而是关于从您感兴趣的stream量path中的设备捕获的。由于交换机仅在其目的地的端口上传输分组,并且边缘设备不会看到两个其他设备之间的stream量。 通常的做法是从目标设备的桥接器或路由器中捕获设备。