AFAIK, NIC přijímá všechny pakety z drátu v místní síti, ale odmítá ty pakety, jejichž cílová adresa není rovna jeho IP.
Oprava:odmítne ty pakety, jejichž cíl je MAC adresa není rovna jeho adrese MAC (nebo vícesměrové vysílání nebo jakékoli další adresy v jeho filtru.
Obslužné programy pro zachytávání paketů mohou triviálně uvést síťové zařízení do promiskuitního režimu, což znamená, že výše uvedená kontrola je vynechána a zařízení přijímá vše, co obdrží. Ve skutečnosti je to obvykle výchozí:s tcpdump , musíte zadat -p možnost, aby ne udělej to.
Důležitější otázkou je, zda jsou pakety, které vás zajímají, vůbec přenášeny po drátě do vašeho sniffovacího portu. Vzhledem k tomu, že používáte nespravovaný ethernetový přepínač, téměř jistě nejsou. Přepínač se rozhodl odstranit pakety, které vám nepatří, z vašeho portu dříve, než bude mít vaše síťové zařízení naději, že je uvidí.
Chcete-li to provést, musíte se připojit ke speciálně nakonfigurovanému portu pro zrcadlení nebo monitorování na spravovaném ethernetovém přepínači.
Podle prvních slov o ethernetových rozbočovačích (nikoli o přepínačích) jsou odeslané pakety dostupné všem hostitelům v podsíti, ale hostitelé, kteří nejsou zamýšleným příjemcem, by je měli ignorovat.
Je zřejmé, že netrvalo dlouho, než se podsítě nasytily, a tak se zrodila technologie přepínačů, která problémy vyřešila, a jedna z věcí, kterou udělali, bylo, že síťový přepínač směroval pouze pakety určené pro daného hostitele na tento port (plus přenos andy broadcast ).
To komplikuje monitorování/sniffování sítě, protože můžete čichat pouze pakety, které jsou pro vašeho hostitele. To bylo považováno za dobrou věc z hlediska zabezpečení, ale z hlediska monitorování sítě ne tak dobré. Aby monitorování sítě fungovalo, dodavatelé implementují funkci zvanou zrcadlení portů. Toto musí být nakonfigurováno na síťovém přepínači a níže uvedený odkaz by vás měl nasměrovat správným směrem pro produkty D-link. Najdete ho někde v softwaru pro správu přepínačů nebo v rozhraní webového administrátora. Pokud tyto funkce nenajdete, nemusí být funkce v daném konkrétním zařízení k dispozici.
http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring
Nejprve musíte přepnout NIC do promiskuitního režimu. Předpokládejme, že vaše rozhraní NIC je eth0.
[email protected]#ifconfig eth0 promesc
Pokud jste v síti přepínače, vaše sledování je omezeno na kolizní doménu připojení k portu přepínače. Můžete spustit macof přemoci přesměrovací tabulku přepínače.
[email protected]#macof -i eth0
Pak můžete použít wireshark nebo tcpdump zachytit veškerý provoz.
[email protected]#tcpdump -i eth0 -w outputfile
Pokud nejste v přepínané síti, povolte promiskuitní režim a použijte tcpdump .