请问在傻瓜型交换机下使用SNIFFER如何抓包
:funk:没有端口映射 怎么样抓啊?难道只能抓广播包? 两种:1种arp欺骗,估计对你来说有点难度
2,第二种,在交换机上面接个hub,然后把你的电脑插在hub上. [quote]原帖由 [i]Roger221[/i] 于 2008-1-10 13:15 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=115364&ptid=18246][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]
两种:1种arp欺骗,估计对你来说有点难度
2,第二种,在交换机上面接个hub,然后把你的电脑插在hub上. [/quote]
交换机上接hub也不行吧 外接线路先通过HUB,在到SWITCH。 要看你sniffer什么了 帮顶一个。呵呵。 完全没懂这个问题 两种:1种arp欺骗,估计对你来说有点难度
2,第二种,在交换机上面接个hub,然后把你的电脑插在hub上.
1种arp欺骗
如何做,能具体讲解吗? 学习中`````````````````````````````````` 据说用HUB抓包,不完全,因为交换机是全双工200M带宽,HUB是半双工100M带宽,而且HUB利用率低远不到100M。是这样吗 [quote]原帖由 [i]liujinbao3000[/i] 于 2008-5-17 10:43 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=123873&ptid=18246][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]
据说用HUB抓包,不完全,因为交换机是全双工200M带宽,HUB是半双工100M带宽,而且HUB利用率低远不到100M。是这样吗 [/quote]
没有100M的HUB 同样的问题,谁能详解一下
hub 只有10M!!!!!
hub 只有10M!!!!! 我用4.7.5的确接在智能交换机上,没做端口镜像,也 能抓包,不过没仔细看全部全 因为我刚学习用 [quote]原帖由 [i]liujinbao3000[/i] 于 2008-5-17 10:43 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=123873&ptid=18246][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]据说用HUB抓包,不完全,因为交换机是全双工200M带宽,HUB是半双工100M带宽,而且HUB利用率低远不到100M。是这样吗 [/quote]
所谓的据说肯定是以为半工抓一半流量了,概念错误 [quote]原帖由 [i]djw8844[/i] 于 2008-5-14 14:35 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=123741&ptid=18246][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]
两种:1种arp欺骗,估计对你来说有点难度
2,第二种,在交换机上面接个hub,然后把你的电脑插在hub上.
1种arp欺骗
如何做,能具体讲解吗? [/quote]
这个其实很容易理解,也就是骗某台设备,让它以为它要访问的目的设备的目的mac是你用来sniffer的机器,它就会乖乖把流量给你咯 外接线先接HUB,再接到交换机上,做sniffer的机子也接在HUB上。不错又学一招:lol: 在核心交换前接个HUB,对整个网络性能影响会很大吧? 什么是傻瓜型 ? 是啊,我也有"在核心交换前接个HUB,对整个网络性能影响会很大吧?"这个疑问的. 麻烦要说的都说清楚些,一头雾水 没明白为什么接个hub 不解。。。 sniffer 本来就可以抓同网段的包,直接接上不可以么 郁闷 求解中 用ARP攻击欺骗别的机器,使其误以为你的机器是网关,而把所有数据发给你,再用sniffer抓包就行了 [quote]原帖由 [i]CrystalAl[/i] 于 2008-7-17 17:54 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=128470&ptid=18246][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]
用ARP攻击欺骗别的机器,使其误以为你的机器是网关,而把所有数据发给你,再用sniffer抓包就行了 [/quote]
这招厉害,不过可别用sniffer干坏事了 都大半年了 目前依然没有好的解决方案 我目前是这样做的 在路由器和 傻瓜交换机 直接接一台电脑 这台电脑是双网卡 汗 不过还是很担心性能有问题啊 [quote]原帖由 [i]xiongyi2[/i] 于 2008-8-13 11:14 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=130203&ptid=18246][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]
都大半年了 目前依然没有好的解决方案 我目前是这样做的 在路由器和 傻瓜交换机 直接接一台电脑 这台电脑是双网卡 汗 不过还是很担心性能有问题啊 [/quote]
根据你说的意思,你想抓到Internet的数据包,在此情况下,可以采用这种连接方式:路由器-集线器-交换机-PC,如果到达Interne的带宽不超过10M的话,以此方式连接对你的内网访问Internet的影响很小,把安装有sniffer的计算机连接在集线器上可以抓到所有到Internet的数据包; 第一种方法使用ARP欺骗,具体怎么做?用SINFFER 自己可以设置,还是需要其它软件来设置. [quote]原帖由 [i]zzl_999_ok[/i] 于 2008-8-14 17:36 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=130422&ptid=18246][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]
第一种方法使用ARP欺骗,具体怎么做?用SINFFER 自己可以设置,还是需要其它软件来设置. [/quote]
关于ARP欺骗原理和实现方法可以参考[url]http://www.net130.com/2004/5-30/20201-4.html[/url],讲的很详细了。 如果你SW没有monitor功能的话 有个方法可以试一下
用台xp
装多网卡 桥接 此时xp相当于安装了os的交换机 大概的连接模型如下
LAN-----SW---XP_in_Bridge----Internet
将sniffer装这台xp上 就可监控网络了 适用于小网络 感觉太复杂了,除了端口映射难道和接hub这两种方法难道就没有别的更好的方法了吗? 不少小型企业的的交换机都没有端口镜像这一功能 有的甚至没网管功能 所以在这环境下抓包是个难题 请教大家,有没有在局域网中监控网络流量的好软件(没有比较苛刻的要求的),公司网络有时候速度变慢,但是不断网,简单的用sniffer接入查看也看不出什么名堂来,郁闷ing HUB有100M的只不过没人生产了,淘汰了。 [quote]原帖由 [i]今夜无眠[/i] 于 2008-8-25 15:26 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=131159&ptid=18246][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]
请教大家,有没有在局域网中监控网络流量的好软件(没有比较苛刻的要求的),公司网络有时候速度变慢,但是不断网,简单的用sniffer接入查看也看不出什么名堂来,郁闷ing [/quote]
sniffer就可以搞定了,何必再用其它软件! ARP欺骗方便些,什么硬件都不用动,但是容易被发现。比如360的arp防火墙。如果在交换机出口放一个hub,除非的访问外网的流量包你能抓到,如果内部互相访问的流量包你是抓不到的,交换机的每一个端口就是一个冲突域,这是无法改变的事实,所以说,你抓只能抓外网的包,并不是说HUB是半双工的。
还有就是HUB有100M端口的,就是很贵,都要上千元,不信查查去。那都是给大型网络假设IDS、IPS或者上网行为控制设备说用的。 使用基于arp欺骗的软件,象聚生网管之类的结合sniffer使用 :handshake
页:
[1]
2