为什么不能捕获到网络数据了？

clcyc

核心交换机cisco3560，在端口16上做了镜像。我这台机子接在一个集线器上，再连到3560的16端口上。

前段时间打开科来都能正常捕获数据，但最近不知为何打开科来后，好像不能捕获网络数据。没有设置过滤器。

今天安装了科来6.8版，在安装结束后，有测试是否机器是否布署成功，检查是成功的。但为何不能捕获到数据呢？

附件是今天用科来捕获数据的工程文件。

还请各位指点，谢谢！

[ 本帖最后由 clcyc 于 2008-7-29 10:49 编辑 ]

从零开始

从工程来看，是没有正确捕获。
请详细描述一下你的网络拓扑及部署方法。

clcyc

monitor session 1 source vlan 2 - 101
monitor session 1 destination interface fa0/16

前段时间都能正常捕获网络数据，但就从上星期开始，就不能正常捕获了。网络结构没有动过。
这是怎么回事呢？

oldjiang

1#的工程，从单播矩阵来看，部署是正确的，比如202.96.137.75和局域网其他机器的通讯
镜像的命令也正确
建议科来的机器直接接F0/16，不通过HUB试试

oldjiang

本机为什么有5个IP呢？

clcyc

原帖由 oldjiang 于 2008-7-30 13:39 发表
本机为什么有5个IP呢？

不会呀，我用ipconfig /all看到的地址只有一个

oldjiang

1#工程的节点浏览器

oldjiang

3560的默认设置Ingress forwarding (destination port) Disabled，你的配置命令是最简单的一种，按理抓包的机器是不能上网的。

clcyc

是的，最早我是加上了ingress forwarding参数，但是后来发现捕获不到数据时，我就试着去掉该参数做镜像看看，没想到还是不行。
下星期直接连线到16口，试试。不通过HUB看看是否能捕获到数据。
oldjiang版主，谢谢您呀！

clcyc

呵呵。。。在菜鸟人飞大侠的帮助下，发现了问题所在。。
是nod32防火墙影响了科来！！关闭后，科来可以正常捕获数据了。
现在打算找找如何开启nod32防火墙，不会影响科来！

十分感谢菜鸟人飞和oldjiang二位热心的版主！谢谢！

[ 本帖最后由 clcyc 于 2008-8-4 14:39 编辑 ]

oldjiang

呵呵，你怎么找到菜版的？

oldjiang

1、防火墙、分析软件，哪个先俘获数据包？此例似乎是防火墙
2、防火墙应该可以自定义规则的吧？如果楼主做成了，能否把这个规则贴出来

robur

原帖由 oldjiang 于 4/8/2008 17:13 发表
1、防火墙、分析软件，哪个先俘获数据包？此例似乎是防火墙
2、防火墙应该可以自定义规则的吧？如果楼主做成了，能否把这个规则贴出来

谁的驱动更靠近NIC（网卡）谁就能先捕获数据包。科来的捕捉驱动层次还是高了点，至少是在NDIS的上面。。。
很多防火墙都掌握一个关键，即本机的IP，而且通常禁止类“路过的数据包”，即源IP和目标IP均非本机或广播地址。。。

oldjiang

讲的好！

yong85215

明白了  学习学习！！！！！！！！！！！！！！

clcyc

十分感谢oldjiang和robur二位专家精彩的回答。

我在nod32个人防火墙将科来的配置进站出站都设置为允许，还是不能捕获数据。

oldjiang

最简单的办法：
1、停掉防火墙
2、参考http://www.csna.cn/forum.php?mod=viewthread&tid=9237，抓包的网卡什么客户端、协议都不配，不知此时防火墙是否还起作用

clcyc

的确，在网卡的属性里多了一个选项。不选中它，科来也能正常捕获数据。
呵。。。终于找到问题所在，谢谢！

[ 本帖最后由 clcyc 于 2008-8-5 10:52 编辑 ]

oldjiang

ESET是防火墙，不打勾就能正常俘获数据了吗？
VM是虚拟机，7#的5个IP跟这个有关吧

clcyc

是的,不打勾就可以获取数据了。robur专家说的没错，eset的驱动相对科来来说，离网卡近。在eset防火墙中可能还有什么设置阻止的科来捕获数据。
７#的５个IP大概是当时我做镜像时启用了ingress选项。本机已连入互联网，而获取的IP。
而VM的服务在当时没有启动,VM的虚拟网卡处于禁用状态。

[ 本帖最后由 clcyc 于 2008-8-5 11:46 编辑 ]

11111-2008

看你们讨论,我也学点知识