问个关于SNIFFER抓包的问题

qianqian

我用SNIFFER抓的包,在解码里看到的所有IP包的源MAC地址,和目的MAC地址,都是我这的交换机和路由器的MAC地址,怎么样才能看到对应IP的真实MAC地址呢?还有内网伪造的IP攻击网络的时候怎么才能看到它的真实MAC地址,请高手指点一下..
我的交换机48口是上连口,我在47口做的镜像捕捉48这个总口的包,交换机的其他口划了很多VLAN,是不是我的SNIFFER部署什么的有问题呢??

wwwang

有没有设置过滤啊?

菜鸟人飞

我用SNIFFER抓的包,在解码里看到的所有IP包的源MAC地址,和目的MAC地址,都是我这的交换机和路由器的MAC地址,怎么样才能看到对应IP的真实MAC地址呢?

首先，答案是否定的，没有办法可以看到远程IP对应的真实MAC地址。
原因：MAC地址是第二层地址，而IP地址是第三层地址，每一个三层设备在转发数据包到下一步三层设备时，都会数据包的源MAC改为自己的出口MAC地址，而保留数据包的源IP，所以在捕获数据包时，源MAC永远是离捕获点最近的一个三层设备的MAC地址。
这是路由器的工作原理造成的，如果是交换机，就不会更改MAC，因为交换机工作在第二层（三层及以上层次的交换机除外）。

还有内网伪造的IP攻击网络的时候怎么才能看到它的真实MAC地址,请高手指点一下..

如果仅仅伪造IP，可以从源MAC中查找真凶;
如果同时伪造IP和MAC，则需要借助分路器，捕获每条物理链路的单向数据包，从而找到真凶（如果某条链路上出现不属于该链路所接主机的数据包，则它就是伪造攻击源）。

我的交换机48口是上连口,我在47口做的镜像捕捉48这个总口的包,交换机的其他口划了很多VLAN,是不是我的SNIFFER部署什么的有问题呢??

这时你可以捕获到所有机器经过交换机访问外网的情况，但下面主机之间的内部通讯，是无法捕获的。
更多部署方式参见 http://www.csna.cn/forum.php?mod ... &extra=page%3D1

qianqian

我是新手很多术语我还不懂

wwwang

总结一下菜版的话!
1.我用SNIFFER抓的包,在解码里看到的所有IP包的源MAC地址,和目的MAC地址,都是我这的交换机和路由器的MAC地址,怎么样才能看到对应IP的真实MAC地址呢?
答案:不可能,因为路由器的特性(三层)
2.还有内网伪造的IP攻击网络的时候怎么才能看到它的真实MAC地址,请高手指点一下..
答案:两种1.如果仅仅伪造IP，可以从源MAC中查找真凶;
                  2.如果同时伪造IP和MAC则需要其它设备及分路器
3.我的交换机48口是上连口,我在47口做的镜像捕捉48这个总口的包,交换机的其他口划了很多VLAN,是不是我的SNIFFER部署什么的有问题呢??
答案是:网络分析系统布署的环境
不知这样回答你明不明白.
建议多看菜版的贴子!如果是新手就看基础的!如果我转述有误的话以菜版为准!

qianqian

看了两位写的基本明白了,我这接的确实是一个3层交换机,上连就是路由器,如果在路由和3层交换机之间在接个2层的交换机是不是能捕捉到真实的内网的MAC呢?还有两位提到的分路器是什么?软件还是硬件?
我这的网络老是有源IP和目的IP的都是外网IP的大量的SYN请求,不知道怎么办才好,请两位帮忙分析分析怎么解决

qianqian

应该是在3层交换机的下面接了2层的是吧,要不3层转发的时候又把MAC改了是吧

qianqian

问了半天白痴问题,下不为例

菜鸟人飞

原帖由 qianqian 于 2006-9-26 14:37 发表
看了两位写的基本明白了,我这接的确实是一个3层交换机,上连就是路由器,如果在路由和3层交换机之间在接个2层的交换机是不是能捕捉到真实的内网的MAC呢?还有两位提到的分路器是什么?软件还是硬件?
我这的网络老是有源IP和目的IP的都是外网IP的大量的SYN请求,不知道怎么办才好,请两位帮忙分析分析怎么解决

出现大量SYN请求，可能在遭受攻击哦。
把数据包文件发上来看看呢？

karenzkk

能讲讲分路器是什么东东么？

菜鸟人飞

本站中有相应的介绍
http://www.csna.cn/forum.php?mod=viewthread&tid=431

翱翔鸟

http://www.csna.cn/forum.php?mod ... e%3D1&frombbs=1

这么布置可合吗?麻烦帮我看下.