讨论交换机与sniffer
各位大侠,先说声不好意思,用这样一个耸人听闻的标题,但我也实在不知道该用什么标题更好了。虽然我使用SNIFFER有一段时间了,但是有一个问题始终在心里
大家都知道交换机不像HUB一样,广播所有流量,但是我们用SNIFFER抓包的时候,在同一个交换机同一个VLAN的其它PC的流量还是可以被抓到,这其中包括非广播流量,比如下载流量。按道理除了广播或者组播流量等能被抓到以外,其它流量是不应该被抓到的。
举个例子,比如你要从一个网站下载一个文件,因为交换机的ARP表里已经有了网关的MAC和IP地址对照条目,所以你的tcp请求会被直接被送到网关设备的接口,而不会广播给其它端口,也就是说此流量不会经过你的PC所在的端口,那么为什么你在PC上还能用sniffer抓到该流量呢?
这个问题真是想不通,请教大家了。 先确定所接端口没有做镜像
由于硬件支持的不同,有些交换机即使做了镜像,还可以在该监视端口发送数据报
最好给个trace说话 除了斑竹说的有没有做镜像,在正常情况下确实也是可以看到一些的。
要理解这个问题,需要了解交换机的工作原理。
根本原因在于CAM表(不知道是不是标准的说法,总之表示交换机内存储MAC地址和端口关联的表)找不到该MAC地址。
几种可能:
1、交换机被攻击,CAM表空间满了
2、unicast flooding 首先多些大家的解答
通过高手的解答,我想我是不是可以这样理解,如果在一个未划分vlan的交换机上,并且没做镜像的前提下,我想在我的PC上用sniffer抓另一台PC的非广播型包是没可能的咯。
但是现在的网络基本上都是用交换机,如果想抓包,就一定要用到镜像,也可以在两个网络设备间接HUB或者用分接的方式。
但是又有一个问题了,如果我想抓包,希望监控某台PC对处于同一交换机同一VLAN的某PC的包,那么在不做镜像的前提下,是没办法抓到我想要的包咯? 欺骗
页:
[1]