Tôi có một mạng cục bộ nhỏ trong nhà có hai máy tính được kết nối với bộ định tuyến modem. Tôi muốn chụp các gói đi từ bộ định tuyến đến một máy chủ cụ thể (tôi biết địa chỉ IP của máy chủ).
Nhà sản xuất của bộ định tuyến là D-Link.
Tôi có một mạng cục bộ nhỏ trong nhà có hai máy tính được kết nối với bộ định tuyến modem. Tôi muốn chụp các gói đi từ bộ định tuyến đến một máy chủ cụ thể (tôi biết địa chỉ IP của máy chủ).
Nhà sản xuất của bộ định tuyến là D-Link.
Câu trả lời:
Trước tiên, bạn sẽ phải ở giữa tất cả lưu lượng truy cập đó. Bạn có thể làm điều này theo một số cách, cách đơn giản nhất có lẽ là xác định xem bạn có thực sự cần lưu lượng truy cập từ cả hai máy tính hay chỉ lưu lượng truy cập từ một máy tính.
Nếu bạn cần cả hai, nối các máy tính với một hub và sau đó đến bộ định tuyến. Một trung tâm sẽ gửi tất cả lưu lượng truy cập mạng đến tất cả các cổng, trong đó một bộ chuyển mạch sẽ chỉ gửi nó đến đích dự định.
Nếu bạn chỉ có một công tắc, tôi cho rằng bạn có thể điều khiển một máy tính làm cổng và hướng máy tính thứ hai về phía nó, nhưng điều đó rất lộn xộn.
Nếu bạn cần tất cả lưu lượng, thậm chí cả bộ định tuyến, hãy đặt một hub sau bộ định tuyến của bạn và nối máy tính với nó. Điều này có thể sẽ chỉ hoạt động nếu lưu lượng truy cập bạn đang cố gắng không bắt nguồn từ máy bạn đang sử dụng để chụp các gói, nếu không, bạn sẽ chạy vào một số cấu hình lộn xộn hơn.
Khi bạn có tất cả lưu lượng truy cập qua NIC của máy tính, hãy lấy gói sniffer (tôi thực sự thích Windows Network Monitor hơn Wireshark ) và bắt đầu lấy các gói. Bạn có thể muốn lọc lưu lượng để chỉ hiển thị máy chủ được đề cập. Các bộ lọc trong Microsoft Network Monitor rất thân thiện với người dùng:
Nếu bạn chạy DD-WRT trên bộ định tuyến gia đình, bạn có thể chạy tcpdump trực tiếp trên bộ định tuyến, với đầu ra được đưa trở lại hệ thống cục bộ của bạn để xử lý sau.
Một ví dụ:
ssh root@192.168.1.1 -c "tcpdump -v -w - -i eth2" > mypackets.pcap
Chỉ cần nhấn Ctrl-C khi hoàn tất và tải tệp chụp vào công cụ phân tích yêu thích của bạn như Wireshark.
tcpdump
trên đó?
Với bộ định tuyến hoặc bộ chuyển đổi cấp doanh nghiệp, bạn sẽ có thể phản chiếu một cổng và sử dụng chương trình chụp gói như wireshark hoặc netmon để làm điều này. Với bộ định tuyến d-link, thực sự không có cách nào để thực hiện việc này.
Một giải pháp sẽ là lấy một hub mạng (không phải là switch, mà là hub) và đặt nó vào mạng nội bộ của bạn. Sau đó cắm đường lên từ trung tâm vào một cổng trên bộ định tuyến của bạn. Bây giờ bạn đã tạo một tình huống trong đó tất cả lưu lượng truy cập vào và ra khỏi mạng của bạn sẽ tấn công tất cả các NIC của máy, bởi vì bạn đang sử dụng một trung tâm. Nếu bạn làm điều này, bạn sẽ có thể chạy wireshark hoặc netmon ở chế độ lăng nhăng và nắm bắt tất cả lưu lượng truy cập này. Viết một bộ lọc để cô lập lưu lượng đến / từ một IP cụ thể là chuyện nhỏ.
Trừ khi các gói có nguồn gốc từ chính bộ định tuyến (có thể, nhưng không thể) các gói sẽ đến từ một trong các máy tính được kết nối. Trong trường hợp này, bạn có thể sử dụng một sniffer gói . SmartSniff cực kỳ dễ sử dụng và có thể được cấu hình để chụp và / hoặc chỉ hiển thị các kết nối đến / từ một IP, cổng cụ thể, v.v.