私の知る限り、NIC はローカル エリア ネットワークのワイヤからすべてのパケットを受信しますが、宛先アドレスが IP と等しくないパケットは拒否します。
修正:宛先が MAC であるパケットを拒否します。 アドレスが MAC アドレスと等しくありません (またはマルチキャストまたはフィルター内の追加アドレス。
パケット キャプチャ ユーティリティを使用すると、簡単にネットワーク デバイスを無差別モードにすることができます。つまり、上記のチェックがバイパスされ、デバイスは受信したものすべてを受け入れます。実際、これは通常デフォルトです:with tcpdump 、 -p を指定する必要があります しないためのオプション やってください。
より重要な問題は、関心のあるパケットがワイヤを介してスニッフィング ポートまで運ばれているかどうかです。管理されていないイーサネット スイッチを使用しているため、ほとんどの場合そうではありません。スイッチは、ネットワーク デバイスがパケットを認識できるようになる前に、ポートからあなたに属さないパケットをプルーニングすることを決定しています。
これを行うには、マネージド イーサネット スイッチの特別に構成されたミラーリングまたはモニタリング ポートに接続する必要があります。
イーサネット ハブ (スイッチではない) の初期の言い方では、送信されたパケットはサブネット上のすべてのホストで利用できますが、意図した受信者ではないホストは無視することになっています。
明らかに、サブネットが飽和するのにそれほど時間はかかりませんでした。そのため、問題を解決するためにスイッチ テクノロジが生まれました。彼らが行ったことの 1 つは、ネットワーク スイッチが、そのホスト宛てのパケットのみをそのポートにルーティングするようにすることでした (さらに、andy ブロードキャスト トラフィック)。
これにより、ホスト宛てのパケットしかスニッフィングできないため、ネットワークの監視/スニッフィングが複雑になります。これはセキュリティの観点からは良いことだと考えられていましたが、ネットワーク監視の観点からはあまり良くありませんでした.ネットワーク監視を機能させるために、ベンダーはポート ミラーリングと呼ばれる機能を実装しています。これはネットワーク スイッチで設定する必要があり、以下のリンクは D-link 製品の正しい方向を示しているはずです。これは、スイッチ管理ソフトウェアまたは Web 管理インターフェイスのどこかにあります。これらの機能が見つからない場合は、その機能がその特定のデバイスで提供されていない可能性があります。
http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring
まず、NIC を無差別モードに切り替える必要があります。 NIC インターフェースが eth0 であると仮定しましょう。
[email protected]#ifconfig eth0 promesc
スイッチ ネットワークを使用している場合、スニッフィングは、スイッチ ポートに接続されたコリジョン ドメインに限定されます。 macof を実行できます スイッチの転送テーブルを圧倒します。
[email protected]#macof -i eth0
次に、 wireshark を使用できます または tcpdump すべてのトラフィックをキャプチャします。
[email protected]#tcpdump -i eth0 -w outputfile
スイッチド ネットワークを使用していない場合は、プロミスキャス モードを有効にして tcpdump を使用してください。 .