Come acquisire il traffico di rete del sistema remoto?

Question

Ho usato wire-shark per analizzare i pacchetti di programmi socket, ora voglio vedere il traffico del traffico degli altri host, come ho scoperto che ho bisogno di usare la modalità monitor che è supportata solo in piattaforma Linux, quindi ho provato ma non sono riuscito a catturare alcun pacchetto trasferito nella mia rete, elencando 0 pacchetti catturati.

Scenario:

Sto avendo una rete composta da oltre 50 ospiti (tutti sono alimentati da finestre tranne il mio), il mio indirizzo IP è 192.168.1.10, quando avvio la procedura di comunicazione tra qualsiasi 192.168.1. xx mostra il traffico catturato. Ma il mio requisito è quello di monitorare il traffico di 192.168.1.21 in b/n 192.168.1.22 dal mio host i, e. da 192.168.1.10.

1: è possibile catturare il traffico come già detto?

2: Se è possibile, allora Wire-Shark è lo strumento giusto per esso (o dovrei doverne usare uno diverso)?

3: se non è possibile, allora perché?

Answer 1

Si è connessi a un interruttore che "commuta" su affic. Basa il traffico che vedi sul tuo indirizzo mac. Sarà NON inviare il traffico che non è destinato al tuo indirizzo mac. Se vuoi monitorare tutto il traffico devi configurare il tuo switch per usare un "port mirror" e collegare lo sniffer in quella porta. Non esiste alcun software che è possibile installare sulla propria macchina per aggirare il modo in cui funziona il cambio di rete.

http://en.wikipedia.org/wiki/Port_mirroring

Answer 2

Basta adattare questo un po 'con i propri filtri e IPS: (su host locale)

ssh -l root <REMOTE HOST> tshark -w - not tcp port 22 | wireshark -k -i - 

o utilizzando bash:

wireshark -k -i <(ssh -l root <REMOTE HOST> tshark -w - not tcp port 22) 

È possibile utilizzare tcpdump invece di tshark se necessario:

ssh -l root <REMOTE HOST> tcpdump -U -s0 -w - -i eth0 'port 22' | 
    wireshark -k -i -