мой tcpdump всегда фильтрует пакеты?
Я использовал tcpdump приблизительно в течение месяца теперь, и недавно, он прекратил получать любые пакеты, которые не были отправлены в или от компьютера, работающего tcpdump. Я разделил вниз свою команду только к:
sudo tcpdump -i en2
Я проверил свои интерфейсы с ifconfig, и en2 находится в режиме "PROMISC". При определении определенного хоста как фильтра я только вижу несколько сообщений "arp", но ничто по сравнению с тем, что на самом деле продолжается в сети.
Какие-либо идеи, почему это произошло бы? Очень ценивший, если кто-либо может дать некоторый совет!
Richard
1 ответ
Возможно, Ваша сеть была недавно обновлена с концентратора на переключатель. Переключатели учатся, которые портируют данный MAC-адрес, подключен с, и только передайте трафик для того MAC-адреса к тому одному порту. Многоадресные сообщения и широковещательные сообщения (такие как ARP) все еще переходят ко всем портам.
Для наблюдения одноадресного трафика для других хостов, в то время как соединено с переключателем стандартное решение состоит в том, чтобы использовать управляемый переключатель, который поддерживает "зеркальное отражение порта", где можно настроить его для копирования всего трафика, который пересек бы определенный порт, чтобы также быть скопированным во второй порт, с которым подключен сниффер.
Существуют также инструменты выхода хакера, которые можно использовать для наблюдения одноадресного трафика других устройств в коммутируемой сети, такой как использование инструментов отравления ARP, чтобы заставить другие машины отправлять свой трафик Вам, как будто Вы были маршрутизатором сети по умолчанию.