Возможный дубликат:
мой tcpdump всегда фильтрует пакеты?
Я использую tcpdump уже около месяца, и недавно он прекратил захватывать любые пакеты, которые не были отправлены на или с компьютера, на котором запущен tcpdump. Я сократил свою команду до просто:
sudo tcpdump -i en2
Я проверил свои интерфейсы с помощью ifconfig, и en2 находится в режиме «PROMISC». Определяя конкретный хост в качестве фильтра, я вижу только несколько сообщений «arp», но ничто по сравнению с тем, что на самом деле происходит в сети. Я работаю под роутером Westell 7500. Вот пример вывода команды tcpdump для указанной выше команды, к которой добавлен «host 192.168.1.30» (еще один хост в моей сети) для фильтрации моего собственного трафика.
listening on en2, link-type EN10MB (Ethernet), capture size 65535 bytes
21:16:19.968786 ARP, Request who-has 192.168.1.30 tell dslrouter.westell.com, length 46
21:16:41.471548 ARP, Request who-has 192.168.1.30 tell dslrouter.westell.com, length 46
21:16:42.395101 ARP, Request who-has 192.168.1.30 tell dslrouter.westell.com, length 46
3 packets captured
127 packets received by filter
0 packets dropped by kernel
Я получаю большинство пакетов, отфильтрованных, даже когда я не включите фильтр хоста. Я знаю, что, возможно, моя сеть каким-то образом изменилась с «концентратора» на «коммутатор» типа маршрутизатора. Если это так, может ли кто-нибудь помочь мне в настройке зеркала порта или, по крайней мере, указать мне правильное направление, чтобы я всегда мог видеть все, что происходит в моей локальной сети?
Благодаря тонну.
источник
Ответы:
Маршрутизатор или коммутатор не будут отправлять весь трафик на все порты по умолчанию. Вам нужен концентратор или убедитесь, что ваше сетевое оборудование может отражать трафик на порт. (иногда называемый зеркалированием, иногда называемый портом монитора и несколькими другими именами). По существу, сетевой трафик (кроме широковещательных сообщений) не поступает на ваш компьютер.
источник