Wie erfassen Sie den Netzwerkverkehr des Remote-Systems?

Question

Ich habe Draht-Hai verwendet, um die Pakete von Socket-Programmen zu analysieren, Jetzt möchte ich den Verkehr von anderen Hosts Verkehr zu sehen, wie ich festgestellt, dass ich Monitor-Modus verwenden muss, der nur in Linux-Plattform unterstützt wird, also habe ich versucht aber ich konnte keine Pakete erfassen, die in meinem Netzwerk übertragen werden, die als 0 aufgezeichnete Pakete auflisten.

Szenario:

Ich bin ein Netzwerk, bestehend aus über 50 Hosts (alle durch Fenster Außer Mine mit Strom versorgt), meine IP-Adresse ist 192.168.1.10, wenn ich eine Kommunikation zwischen jedem 192.168.1 initiieren. xx zeigt den erfassten Verkehr. Aber meine Anforderung ist, den Verkehr von 192.168.1.21 s/w 192.168.1.22 von meinem Host zu überwachen, ich e. von 192.168.1.10.

1: Ist es möglich, den Verkehr wie erwähnt zu erfassen?

2: Wenn es möglich ist, dann ist Drahthai das richtige Werkzeug dafür (oder sollte ich einen anderen verwenden)?

3: Wenn es nicht möglich ist, warum?

Answer 1

Sie sind mit einem Schalter verbunden, der "tr" schaltet Verkehr. Es basiert den Verkehr, den Sie auf Ihrer Mac-Adresse sehen. Es wird NICHT senden Sie Verkehr, der nicht für Ihre Mac-Adresse bestimmt ist. Wenn Sie den gesamten Datenverkehr überwachen möchten, müssen Sie Ihren Switch so konfigurieren, dass er einen "Port Mirror" verwendet und Ihren Sniffer an diesen Port anschließt. Es gibt keine Software, die Sie auf Ihrem Computer installieren können, um die Netzwerkumschaltung zu umgehen.

http://en.wikipedia.org/wiki/Port_mirroring

Answer 2

anpassen Genau dies ein wenig mit dem eigenen Filter und ips: (auf dem lokalen Host)

ssh -l root <REMOTE HOST> tshark -w - not tcp port 22 | wireshark -k -i - 

oder bash mit:

wireshark -k -i <(ssh -l root <REMOTE HOST> tshark -w - not tcp port 22) 

Sie tcpdump statt tshark verwenden können, wenn nötig:

ssh -l root <REMOTE HOST> tcpdump -U -s0 -w - -i eth0 'port 22' | 
    wireshark -k -i -