我一直在用wire-shark分析socket程序的数据包,现在想看看其他主机的流量,因为我发现我需要使用只有Linux平台支持的监控模式,所以我尝试过,但我无法捕获在我的网络中传输的任何数据包,列为 0 个捕获的数据包。
场景:
我有一个由 50 多台主机组成的网络(除了我的以外,所有主机都由 Windows 提供支持),我的 IP 地址是 192.168.1.10,当我在任何 192.168.1.xx 之间发起通信时,它会显示捕获的流量。 但我的要求是监控来自我的主机的 192.168.1.21 b/w 192.168.1.22 的流量,即从 192.168.1.10。
1:是否可以像我提到的那样捕获流量?
2:如果可能的话,wire-shark 是否适合它(或者我应该使用不同的工具)?
3:如果不可能,那为什么?
【问题讨论】:
只需使用您自己的过滤器和 ips 稍微调整一下即可:(在本地主机上)
ssh -l root <REMOTE HOST> tshark -w - not tcp port 22 | wireshark -k -i -
或使用bash:
wireshark -k -i <(ssh -l root <REMOTE HOST> tshark -w - not tcp port 22)
如果需要,您可以使用tcpdump 代替tshark:
ssh -l root <REMOTE HOST> tcpdump -U -s0 -w - -i eth0 'port 22' |
wireshark -k -i -
【讨论】:
pcap 的工具。
您已连接到正在“交换”流量的交换机。它基于您在 mac 地址上看到的流量。它会不向您发送不是发往您的 mac 地址的流量。如果您想监控所有流量,您需要将交换机配置为使用“端口镜像”并将您的嗅探器插入该端口。没有任何软件可以安装在您的机器上来绕过网络切换的工作方式。
【讨论】: