刚开始是Wireshark和tcpdump, 如果我捕获IP上的流量,但不捕获其他来源(网络上的其他IP)上的任何内容,它们都可以正常工作
我的设置:1台运行Windows 8(ip 192.168.0.2)的计算机,1台运行ubuntu(192.168.0.3)的笔记本电脑。
两者都连接到便宜的非托管5端口交换机,该交换机也连接到我的路由器。
两者都是有线的,甚至可以在无线模式下尝试使用笔记本电脑。
如果我在带有过滤器的笔记本电脑上运行tcpdump:主机192.168.0.2(添加计算机IP),它将无法捕获任何内容!
与我在计算机上运行Wireshark相同,但使用了诸如dest 192.168.0.3(笔记本IP)之类的过滤器
尝试使用净值为192.168.0.0/24的tcpdump(应该从我的整个网络捕获流量)...相同的结果,仅捕获发往我的IP的流量(我正在运行命令的女巫的笔记本电脑)
在笔记本电脑和PC上尝试将设置设置为“混杂”,结果相同。
任何想法为何我无法从其他IP地址捕获任何东西?
答案 0 :(得分:1)
“两者都连接到便宜的非托管5端口交换机”
您已经发现,当前的捕获设置将不起作用。从Wireshark CaptureSetup/Ethernet维基页面:
此外,如果您使用的是交换以太网,而不是共享的 以太网,您还必须采取措施以确保所有流量 您感兴趣的对象将被发送到 运行包捕获程序的机器;默认情况下不是 在交换网络上的情况,因此尝试在交换网络上捕获 默认情况下,网络将仅查看捕获计算机的流量 不处于混杂模式时会看到。
请参阅同一页面上的许多解决方案,包括使用TAP,受管交换机甚至是集线器(如果您甚至可以找到一个而别无选择),仅举几例。
除了Wireshark Wiki页面之外,我还强烈建议阅读非常有才华的Jasper Bongertz的6部分 Network Capture Playbook 系列: