【文本版|topic】 标题 全文 高级搜索    名人堂 帮助 论坛制度 意见反馈 | 首页 博客 周新贴 招聘 专题 新闻

	社区导航: 专家门诊   门诊点播 申请专家 意见建议 嘉宾访谈 网络技术   网络管理  >>VPN管理  >>网络流量管理  >>网络设备管理  >>网络解决方案 网管软件 网络工程  >>综合布线  >>系统集成 思科技术 华为技术 网络安全  >>病毒木马  >>流氓软件  >>ISA 存储备份 服务器硬件 操作系统   Windows Linux & Advanced Application Unix & BSD & Solaris 数据库   微软SQL Server专区  >>SQL Server 2008  >>SQL Server数据库管理  >>SQL Server数据库开发  >>微软商务智能 Oracle 10g / 9i MySQL & PostgreSQL & Sybase DB2 程序设计   C/C++ .Net Java Php Web PowerBuilder 系统应用   Web及应用服务器 Mail服务器  >>Exchange 其他常用服务器软件 考试认证   软考论坛  >>网络管理员  >>网络工程师 主流IT厂商认证 ITAA实验室 CIO及信息化   管理软件 信息化咨询 站长交流   建站经验交流 网站运营推广 网页设计美化 IDC技术交流 综合交流   PC应用  >>软件应用  >>硬件应用 英语天地 新闻评论 职场人生 生活日记 体坛奥运 开心灌水 士兵突击 吃喝玩乐 下载基地  技术文档 工具软件 课件试题 方案案例 源代码 影视天地 原创视频 技术白皮书  >>存储管理  >>Cisco  >>Linux  >>Solaris  >>Oracle  >>更多... 51CTO产品服务 活动专区 产品与服务  >>IT技术自测  >>技术黄皮书  >>微软MVP专区  >>商务竞拍  >>特色功能介绍  >>论坛小技巧 站务交流  >>论坛公告  >>斑竹申请  >>意见建议  >>市场合作 斑竹茶馆 【设为首页 | 收藏本站】

51CTO技术论坛» 网络管理 » 网络解决方案 » sniffer抓包问题       [ 打印]  [ 订阅]  [ 收藏]  [ 推荐给朋友]   [ 本帖文本页]

论坛跳转: →IT综合区←  > 技能交换  > 项目外包  > 产品采购  > 求职招聘 →专家门诊←  > 专家门诊      > 嘉宾访谈  > 原创网络技术视频      > 视频讨论专区  > 微软SQL Server专区 → 网络技术←  > 网络管理      > VPN管理      > 网络流量管理      > 网络设备管理      > 网络解决方案  > 网管软件  > 网络工程      > 综合布线      > 系统集成  > 思科技术  > 华为技术  > 锐捷技术  > 网络安全      > 赛门铁克      > 病毒木马      > 流氓软件      > ISA  > 存储备份  > 服务器硬件 →操作系统←  > Windows  > Linux & Advanced Application  > Solaris & BSD & Unix → 数据库←  > 微软SQL Server专区      > SQL Server 2008      > SQL Server数据库管理      > SQL Server应用开发      > 微软商务智能  > Oracle 10g / 9i  > MySQL & PostgreSQL & Sybase  > DB2 →程序设计←  > C/C++  > .Net  > Java  > Php  > Web开发  > PowerBuilder →系统应用←  > Web及应用服务器  > Mail服务器      > Exchange  > 其他常用服务器软件 →考试认证←  > 软考论坛      > 网络管理员      > 网络工程师  > 北大青鸟  > 主流IT厂商认证 →CIO与信息化←  > 管理软件  > 信息化咨询 →站长交流←  > 建站经验交流  > 网站运营推广  > 网页设计美化  > IDC技术交流 →娱乐休闲←  > PC 应用      > 软件应用      > 硬件维护  > 英语天地  > 新闻评论  > 职场人生  > 体坛奥运  > 升级版生活日记  > 贴图灌水beta版  > 51cto版士兵突击  > 吃喝玩乐FB生活 →下载基地←  > 技术文档  > 工具软件  > 课件试题  > 方案案例  > 源代码  > 影视天地  > 技术白皮书      > Cisco      > Windows      > Linux      > Unix      > Solaris      > BSD      > Oracle      > My SQL      > MS SQL      > MPLS      > Sybex      > Programe      > WEB      > 存储硬件      > 存储管理      > 存储概念 →51CTO产品与服务←  > 活动专区  > 产品与服务      > IT技术自测      > 技术黄皮书      > Most Valuable Professional      > 商务竞拍      > 特色功能介绍      > 论坛小技巧  > 站务交流      > 论坛公告      > 斑竹申请      > 意见建议      > 市场合作 →信息发布←  > 信息发布

标题: sniffer抓包问题  ( 查看:261  回复:5 )    全文标题 本版搜索全坛搜索
kaizi_sun 新新人类  帖子 85 精华 0 无忧币 66 积分 118 阅读权限 20 来自 (保密) 注册日期 2007-11-10 最后登录 2008-7-22 离线 [查看资料]  [发短消息]  [Blog]	发表于:2007-11-15 12:42　 　标题：sniffer抓包问题 ＜上一帖 | 下一帖＞ 我能抓到的包局限自己的机器。 我们是通过2层交换机连接的，似乎要设置什么东西是么？ 有点迷糊，不知道怎么设置。我是其中的用户，那我该怎么去设置呢？ 网络工程师到底该不该去考CCIE认证？
2007-11-15 12:42 1楼	[ 顶部 ]
lsq2003 技术员  帖子 804 精华 0 无忧币 1659 积分 943 阅读权限 30 注册日期 2006-9-19 最后登录 2008-7-22 离线 [查看资料]  [发短消息]  [Blog]	发表于:2007-11-15 14:05　 换三层交换机做端口镜像..或者换成HUB... 网络工程师到底该不该去考CCIE认证？
2007-11-15 14:05 2楼	[ 顶部 ]
jrfly331 副版主            帖子 231 精华 0 无忧币 3260 积分 262 阅读权限 140 注册日期 2007-4-20 最后登录 2008-7-17 离线 [查看资料]  [发短消息]  [Blog]	发表于:2007-11-15 14:08　 把数据源和目的选好，还有选对网卡 【MVP】马上申请成为“微软最有价值专家”
2007-11-15 14:08 3楼	[ 顶部 ]
kaizi_sun 新新人类  帖子 85 精华 0 无忧币 66 积分 118 阅读权限 20 来自 (保密) 注册日期 2007-11-10 最后登录 2008-7-22 离线 [查看资料]  [发短消息]  [Blog]	发表于:2007-11-16 11:34　 同意1楼的，可是我没做过端口镜象，要在交换机上设置？ 网络工程师到底该不该去考CCIE认证？
2007-11-16 11:34 4楼	[ 顶部 ]
kaizi_sun 新新人类  帖子 85 精华 0 无忧币 66 积分 118 阅读权限 20 来自 (保密) 注册日期 2007-11-10 最后登录 2008-7-22 离线 [查看资料]  [发短消息]  [Blog]	发表于:2007-11-16 14:50　 顶上去顶顶mmmmmmmm 网络工程师到底该不该去考CCIE认证？
2007-11-16 14:50 5楼	[ 顶部 ]
sunnybed 新新人类  帖子 18 精华 0 无忧币 110 积分 22 阅读权限 20 注册日期 2007-11-21 最后登录 2008-5-18 离线 [查看资料]  [发短消息]  [Blog]	发表于:2007-11-23 08:10　 　标题：？？？ 在我们日常的学习和工作环境中，如果不是网路管理员，可能无法将协议分析软件部署到相应的位置。这个时候如果作为实验该如何下手呢?    在此之前我们先来了解一下嗅探的原理。    要知道在以太网中，所有的通讯都是广播的，也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的MAC地址，大多数系统使用48比特的地址，这个地址用来表示网络中的每一个设备，一般来说每一块网卡上的MaC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。 　　在正常的情况下，一个网络接口应该只响应这样的两种数据帧： 　　 1.与自己硬件地址相匹配的数据帧。　 　　 　　　　 　　 　　　      2.发向所有机器的广播数据帧。 　　　在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。而对于网卡来说一般有四种接收模式： 　　广播方式：该模式下的网卡能够接收网络中的广播信息。　　　　 　　组播方式：设置在该模式下的网卡能够接收组播数据。 　　 　　直接方式：在这种模式下，只有目的网卡才能接收该数据。 　　　　   　混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。 　　好了，现在我们总结一下，首先，我们知道了在以太网中是基于广播方式传送数据的，也就是说，所有的物理信号都要经过我的机器，再次，网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是他。这实际上就是我们SNIFF工作的基本原理：让网卡接收一切他所能接收的数据。     那我们再部署的时候不能将我们的软件或者硬件布置在物理的端口，这时我们怎么办呢？     根据他的原理，只要我们能用arp将自己的机器伪装成为网管，就可以监控整个网络内的数据了。     由于我手头没有现成的工具，实验就用了科来和p2p终结者。     也许要问了为么要用p2p？     一会就会知道。打开科莱之后点击捕获，等一会就会看到一些捕获的数据了，但是它们都是自己主机的和一些广播包，无法嗅探其他机器的数据。 这时将终结者打开，设为监视模式，然后开始。    于是乎所有的网络流量就都呈现眼前了。在矩形图里就可以清楚的看到这些了。    原因很简单，终结者就是起了一个arp欺骗的作用。    但这个终究是有缺陷的，不能保证抓到所有的包。只能作为测试的权益之计，主要是为了学习来用。    当然还有其他软件可以做到，嗅探软件也不只这一个。    我在这里提供一个思路。希望高手能发现更多的好方法交流。 一般情况下，网络协议分析软件的安装部署有以下几种情况： 共享式网络 使用集线器（Hub）作为网络中心交换设备的网络即为共享式网络，集线器（Hub）以共享模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器（Hub），可将网络协议分析软件安装在局域网中任意一台主机上，此时软件可以捕获整个网络中所有的数据通讯，其安装简图如下。 具备镜像功能的交换式网络 使用交换机（Switch）作为网络的中心交换设备的网络即为交换式网络。交换机（Switch）工作在OSI模型的数据链接层，它的各端口之间能有效分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。 如果您网络中的交换机具备镜像功能时，可在交换机上配置好端口镜像，再将网络协议分析软件安装在连接镜像端口的主机上，此时软件可以捕获整个网络中所有的数据通讯，其安装简图如下。 不具备镜像功能的交换式网络 一些简易的交换机可能并不具备镜像功能，不能通过端口镜像实现网络的监控分析。这时，可采取在交换机与路由器（或防火墙）之间串接一个分路器（Tap）或集线器（Hub）的方法来完成数据捕获，其安装简图如下。 定点分析一个部门或一个网段 在实际情况中，网络的拓扑结构往往非常复杂，在进行网络分析时，我们并不需要分析整个网络，只需要对某些异常工作的部门或网段进行分析。这种情况下，可以将网络协议分析软件安装于移动电脑上，再附加一个分路器（Tap）或集线器（Hub），就可以很方便的实现任意部门或任意网段的数据捕获，其安装简图如下。 代理服务器共享上网 当前的小型网络中，有很大一部分都可能仍然通过代理服务器共享上网，对这种网络的分析，直接将网络分析软件安装在代理服务器上就可以了，其安装简图如下。 可以参看这里的。 http://sunnybed.bokee.com/viewdiary.177052281.html 网络工程师到底该不该去考CCIE认证？
2007-11-23 08:10 6楼	[ 顶部 ]

论坛跳转: →IT综合区←  > 技能交换  > 项目外包  > 产品采购  > 求职招聘 →专家门诊←  > 专家门诊      > 嘉宾访谈  > 原创网络技术视频      > 视频讨论专区  > 微软SQL Server专区 → 网络技术←  > 网络管理      > VPN管理      > 网络流量管理      > 网络设备管理      > 网络解决方案  > 网管软件  > 网络工程      > 综合布线      > 系统集成  > 思科技术  > 华为技术  > 锐捷技术  > 网络安全      > 赛门铁克      > 病毒木马      > 流氓软件      > ISA  > 存储备份  > 服务器硬件 →操作系统←  > Windows  > Linux & Advanced Application  > Solaris & BSD & Unix → 数据库←  > 微软SQL Server专区      > SQL Server 2008      > SQL Server数据库管理      > SQL Server应用开发      > 微软商务智能  > Oracle 10g / 9i  > MySQL & PostgreSQL & Sybase  > DB2 →程序设计←  > C/C++  > .Net  > Java  > Php  > Web开发  > PowerBuilder →系统应用←  > Web及应用服务器  > Mail服务器      > Exchange  > 其他常用服务器软件 →考试认证←  > 软考论坛      > 网络管理员      > 网络工程师  > 北大青鸟  > 主流IT厂商认证 →CIO与信息化←  > 管理软件  > 信息化咨询 →站长交流←  > 建站经验交流  > 网站运营推广  > 网页设计美化  > IDC技术交流 →娱乐休闲←  > PC 应用      > 软件应用      > 硬件维护  > 英语天地  > 新闻评论  > 职场人生  > 体坛奥运  > 升级版生活日记  > 贴图灌水beta版  > 51cto版士兵突击  > 吃喝玩乐FB生活 →下载基地←  > 技术文档  > 工具软件  > 课件试题  > 方案案例  > 源代码  > 影视天地  > 技术白皮书      > Cisco      > Windows      > Linux      > Unix      > Solaris      > BSD      > Oracle      > My SQL      > MS SQL      > MPLS      > Sybex      > Programe      > WEB      > 存储硬件      > 存储管理      > 存储概念 →51CTO产品与服务←  > 活动专区  > 产品与服务      > IT技术自测      > 技术黄皮书      > Most Valuable Professional      > 商务竞拍      > 特色功能介绍      > 论坛小技巧  > 站务交流      > 论坛公告      > 斑竹申请      > 意见建议      > 市场合作 →信息发布←  > 信息发布

| | |

---

| | |

---

| | |

---

标记已读 · 删除论坛Cookies · 文本版 · WAP

 

| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图

Copyright©2005-2008 51CTO.COM  Powered by Discuz!

本论坛言论纯属发布者个人意见，不代表51CTO网站立场！如有疑义，请与管理员联系。

京ICP备05051492号