Ich habe ein kleines lokales Netzwerk in meinem Haus, an dem zwei Computer mit einem Modemrouter verbunden sind. Ich möchte die Pakete erfassen, die vom Router an einen bestimmten Server gesendet werden (ich kenne die IP-Adresse des Servers).
Der Hersteller des Routers ist D-Link.
Antworten:
Zuerst musst du zwischen all diesen Verkehr geraten. Sie können dies auf verschiedene Arten tun. Am einfachsten ist es wahrscheinlich, festzustellen, ob Sie wirklich den Datenverkehr von beiden Computern oder nur den Datenverkehr von einem einzelnen Computer benötigen.
Wenn Sie beide benötigen, schließen Sie die Computer an einen Hub und dann an den Router an. Ein Hub sendet den gesamten Netzwerkverkehr an alle Ports, und ein Switch sendet ihn nur an das vorgesehene Ziel.
Wenn Sie nur einen Switch haben, könnten Sie einen Computer als Gateway konfigurieren und den zweiten Computer darauf ausrichten, aber das ist chaotisch.
Wenn Sie den gesamten Datenverkehr, auch den Router, benötigen , platzieren Sie einen Hub nach Ihrem Router und schließen Sie einen Computer an. Dies funktioniert wahrscheinlich nur, wenn der Datenverkehr, den Sie erfassen möchten, nicht von dem Computer stammt, den Sie zum Erfassen der Pakete verwenden. Andernfalls wird die Konfiguration unordentlicher.
Sobald der gesamte Datenverkehr an der Netzwerkkarte Ihres Computers vorbei fließt, nehmen Sie einen Paket-Sniffer (ich bevorzuge eigentlich Windows Network Monitor gegenüber Wireshark ) und beginnen Sie, die Pakete zu erfassen. Wahrscheinlich möchten Sie den Datenverkehr filtern, um nur den betreffenden Server anzuzeigen. Filter in Microsoft Network Monitor sind sehr benutzerfreundlich:
quelle
Wenn Sie DD-WRT auf Ihrem Heimrouter ausführen, können Sie tcpdump direkt auf dem Router ausführen, wobei die Ausgabe zur späteren Verarbeitung auf Ihr lokales System zurückgeführt wird.
Ein Beispiel:
Drücken Sie einfach Strg-C, wenn Sie fertig sind, und laden Sie die Aufnahmedatei in Ihr bevorzugtes Analysetool wie Wireshark.
quelle
tcpdump
dort hin?Mit einem Router oder Switch für Unternehmen können Sie einen Port spiegeln und dazu ein Paketaufzeichnungsprogramm wie Wireshark oder Netmon verwenden. Mit einem D-Link-Router gibt es wirklich keine Möglichkeit, dies zu tun.
Eine Lösung wäre, einen Netzwerk-Hub (nicht einen Switch, sondern einen Hub) zu erhalten und in Ihrem internen Netzwerk zu platzieren. Stecken Sie dann den Uplink vom Hub in einen Port Ihres Routers. Sie haben jetzt eine Situation geschaffen, in der der gesamte Datenverkehr in und aus Ihrem Netzwerk alle Netzwerkkarten Ihres Computers betrifft, da Sie einen Hub verwenden. In diesem Fall können Sie Wireshark oder Netmon im Promiscuous-Modus ausführen und den gesamten Datenverkehr erfassen. Das Schreiben eines Filters zum Isolieren des Datenverkehrs zu / von einer bestimmten IP ist trivial.
quelle
Sofern die Pakete nicht vom Router selbst stammen (möglich, aber unwahrscheinlich), sollten sie von einem der angeschlossenen Computer stammen. In diesem Fall können Sie einen Paket-Sniffer verwenden . SmartSniff ist äußerst benutzerfreundlich und kann so konfiguriert werden, dass nur Verbindungen zu / von einer bestimmten IP, einem bestimmten Port usw. erfasst und / oder angezeigt werden.
quelle