如何使用科来网络分析软件分析内网...

lcs

我是莱鸟，想学网络分析，现在有个问题请教各位高手，谢谢！

软件版本：科来专家版 6.0 Demo
安装位置：内部出局网关 （ISA 2004 地址：192.168.0.254）
内网地址段：192.168.0.0/24
客户机上网设置：WEB 代理 指向 ISA 服务器
内网 DNS 服务器地址：192.168.0.1

请教：
1.使用默认软件配置进行抓包，但只能看到客户机对 ISA 服务器及 DNS服务器发起的数据包，没法抓到客户机与客户机间的信息（如打印、共享访问、DHCP...等信息）...是啥问题？

内网连接图：

             路由
                |
       ISA服务器
          |      |
     外网卡   |
               内网卡(192.168.0.254)
                    |
                 HUB---交换机A----交换机B
                                |                 |
                           客户机         客户机

ValorZ

如你的拓扑图所示，你确实不能抓到客户机之间的流量，但是dhcp是能抓到的

lcs

谢谢版主回复！

请教，如果要抓捕客户机间数据包，应该如何修改网络拓扑？

ValorZ

要抓客户机之间的流量，你可以把所有的交换机都换成HUB 。。。。
方法有很多，不过都挺麻烦的

[ 本帖最后由 ValorZ 于 2006-8-13 19:15 编辑 ]

lcs

晕，看说明资料，如果把 HUB 改成支持 镜像监控 交换机 不行吗？

菜青虫

原帖由 lcs 于 2006-8-13 19:32 发表
晕，看说明资料，如果把 HUB 改成支持 镜像监控 交换机 不行吗？

用具有镜像功能的交换机，8错，

就如ValorZ大大说的，部署方法比较多样化，看具体需要

lcs

还是再问一次，呵呵～～

是否只需要把上面拓扑中 HUB 更换为 镜像交换机就可以监控 交换机A 与交换机B 中连接的客户机间信息？

[ 本帖最后由 lcs 于 2006-8-14 09:25 编辑 ]

菜青虫

换上镜像交换机后，把连接交换机A 与交换机B的端口设置为被镜像口，就可以了

lcs

了解，谢谢！～～

菜鸟人飞

即使这样做后，交换机A和交换机B内部的主机间通讯，仍然是不能看的。
因为这些数据包根本就没有流经具备镜像功能的交换机。

lcs

哦,那要监控交换机A、B中客户间信息包有啥方法能做到呢？

--?

菜青虫

这个就需要单独对交换A和交换机B，分别来监控！

之前我说的方法是捕获所有的数据，

在置顶的部署帖子里面有“对某个网段的部署方法”

lcs

那就是要监控那个交换机上客户机间数据交换，必须把监控机接入到该台交换机上了？

但，如果交换机A 上客户机A 跟 交换机B 上客户机B 进行数据交换，那监控机要放到那个位置上？.....

菜青虫

原帖由 lcs 于 2006-8-15 07:24 发表
那就是要监控那个交换机上客户机间数据交换，必须把监控机接入到该台交换机上了？

但，如果交换机A 上客户机A 跟 交换机B 上客户机B 进行数据交换，那监控机要放到那个位置上？.....

在中心交换机上做镜像，可以看到！
LZ可能误解了菜鸟人飞大大的意思，

“交换机A和交换机B内部的主机间通讯，仍然是不能看的。”

不是交换机A和交换机B之间，，应该分别是他们内部---交换机A内部的通讯和交换机B内部的通讯

lcs

我今天购买了一个镜像交换机，连接图如下：

情况：测试了30分钟，但只记录到客户端 ARP、DNS、Netbios 等少量信息；

疑问：不确定是否已经把科来安装到准确位置上了...

菜鸟人飞

可能未部署正确。
为何不将新添加的镜像交换机接到ISA Server和其它交换机之间呢？

lcs

嗯，等下测试，换换位置

lcs

测试过了，把镜像交换机加到 ISA 及 交换机 中间，也只能捕获到之前所说的数据，对于 CIFS 等没抓到；

但如果是 VPN客户，可以捕获到所有流经的数据；
（如果连这也抓不到，那可就是有问题了--）

其实我就想了解内部客户机日常网络通讯有那些协议，到底是那出问题了，为何换了位置还是不行呢？