tcpdump / wireshark捕获问题

时间:2019-02-28 19:24:59

标签: wireshark tcpdump

刚开始是Wireshark和tcpdump, 如果我捕获IP上的流量,但不捕获其他来源(网络上的其他IP)上的任何内容,它们都可以正常工作

我的设置:1台运行Windows 8(ip 192.168.0.2)的计算机,1台运行ubuntu(192.168.0.3)的笔记本电脑。

两者都连接到便宜的非托管5端口交换机,该交换机也连接到我的路由器。

两者都是有线的,甚至可以在无线模式下尝试使用笔记本电脑。

如果我在带有过滤器的笔记本电脑上运行tcpdump:主机192.168.0.2(添加计算机IP),它将无法捕获任何内容!

与我在计算机上运行Wireshark相同,但使用了诸如dest 192.168.0.3(笔记本IP)之类的过滤器

尝试使用净值为192.168.0.0/24的tcpdump(应该从我的整个网络捕获流量)...相同的结果,仅捕获发往我的IP的流量(我正在运行命令的女巫的笔记本电脑)

在笔记本电脑和PC上尝试将设置设置为“混杂”,结果相同。

任何想法为何我无法从其他IP地址捕获任何东西?

1 个答案:

答案 0 :(得分:1)

“两者都连接到便宜的非托管5端口交换机”

您已经发现,当前的捕获设置将不起作用。从Wireshark CaptureSetup/Ethernet维基页面:

  

此外,如果您使用的是交换以太网,而不是共享的   以太网,您还必须采取措施以确保所有流量   您感兴趣的对象将被发送到   运行包捕获程序的机器;默认情况下不是   在交换网络上的情况,因此尝试在交换网络上捕获   默认情况下,网络将仅查看捕获计算机的流量   不处于混杂模式时会看到。

请参阅同一页面上的许多解决方案,包括使用TAP,受管交换机甚至是集线器(如果您甚至可以找到一个而别无选择),仅举几例。

除了Wireshark Wiki页面之外,我还强烈建议阅读非常有才华的Jasper Bongertz的6部分 Network Capture Playbook 系列:

  1. The Network Capture Playbook Part 1 – Ethernet Basics
  2. The Network Capture Playbook Part 2 – Speed, Duplex and Drops
  3. The Network Capture Playbook Part 3 – Network cards
  4. The Network Capture Playbook Part 4 – SPAN Port In-Depth
  5. The Network Capture Playbook Part 5 – Network TAP Basics
  6. The Network Capture Playbook Part 6 – Planning Network Troubleshooting