CSNA网络分析论坛»首页 流量分析 网络分析 问个关于SNIFFER抓包的问题
返回列表 发帖
查看: 13065|回复: 11

问个关于SNIFFER抓包的问题

[复制链接]
qianqian
发表于 2006-9-25 15:57:30 | 显示全部楼层 |阅读模式
我用SNIFFER抓的包,在解码里看到的所有IP包的源MAC地址,和目的MAC地址,都是我这的交换机和路由器的MAC地址,怎么样才能看到对应IP的真实MAC地址呢?还有内网伪造的IP攻击网络的时候怎么才能看到它的真实MAC地址,请高手指点一下..
我的交换机48口是上连口,我在47口做的镜像捕捉48这个总口的包,交换机的其他口划了很多VLAN,是不是我的SNIFFER部署什么的有问题呢??
回复

使用道具 举报

wwwang
发表于 2006-9-25 16:27:06 | 显示全部楼层
有没有设置过滤啊?
回复

使用道具 举报

菜鸟人飞
发表于 2006-9-25 16:48:51 | 显示全部楼层
我用SNIFFER抓的包,在解码里看到的所有IP包的源MAC地址,和目的MAC地址,都是我这的交换机和路由器的MAC地址,怎么样才能看到对应IP的真实MAC地址呢?

首先,答案是否定的,没有办法可以看到远程IP对应的真实MAC地址。
原因:MAC地址是第二层地址,而IP地址是第三层地址,每一个三层设备在转发数据包到下一步三层设备时,都会数据包的源MAC改为自己的出口MAC地址,而保留数据包的源IP,所以在捕获数据包时,源MAC永远是离捕获点最近的一个三层设备的MAC地址。
这是路由器的工作原理造成的,如果是交换机,就不会更改MAC,因为交换机工作在第二层(三层及以上层次的交换机除外)。

还有内网伪造的IP攻击网络的时候怎么才能看到它的真实MAC地址,请高手指点一下..

如果仅仅伪造IP,可以从源MAC中查找真凶;
如果同时伪造IP和MAC,则需要借助分路器,捕获每条物理链路的单向数据包,从而找到真凶(如果某条链路上出现不属于该链路所接主机的数据包,则它就是伪造攻击源)。

我的交换机48口是上连口,我在47口做的镜像捕捉48这个总口的包,交换机的其他口划了很多VLAN,是不是我的SNIFFER部署什么的有问题呢??

这时你可以捕获到所有机器经过交换机访问外网的情况,但下面主机之间的内部通讯,是无法捕获的。
更多部署方式参见 http://www.csna.cn/forum.php?mod ... &extra=page%3D1
回复

使用道具 举报

qianqian
 楼主| 发表于 2006-9-25 16:50:13 | 显示全部楼层

在那里设?怎样设?请说详细点好吗,谢谢

我是新手很多术语我还不懂
回复

使用道具 举报

wwwang
发表于 2006-9-25 17:09:41 | 显示全部楼层

高人!佩服

总结一下菜版的话!
1.我用SNIFFER抓的包,在解码里看到的所有IP包的源MAC地址,和目的MAC地址,都是我这的交换机和路由器的MAC地址,怎么样才能看到对应IP的真实MAC地址呢?
答案:不可能,因为路由器的特性(三层)
2.还有内网伪造的IP攻击网络的时候怎么才能看到它的真实MAC地址,请高手指点一下..
答案:两种1.如果仅仅伪造IP,可以从源MAC中查找真凶;
                  2.如果同时伪造IP和MAC则需要其它设备及分路器
3.我的交换机48口是上连口,我在47口做的镜像捕捉48这个总口的包,交换机的其他口划了很多VLAN,是不是我的SNIFFER部署什么的有问题呢??
答案是:网络分析系统布署的环境
不知这样回答你明不明白.
建议多看菜版的贴子!如果是新手就看基础的!如果我转述有误的话以菜版为准!
回复

使用道具 举报

qianqian
 楼主| 发表于 2006-9-26 14:37:54 | 显示全部楼层

谢谢

看了两位写的基本明白了,我这接的确实是一个3层交换机,上连就是路由器,如果在路由和3层交换机之间在接个2层的交换机是不是能捕捉到真实的内网的MAC呢?还有两位提到的分路器是什么?软件还是硬件?
我这的网络老是有源IP和目的IP的都是外网IP的大量的SYN请求,不知道怎么办才好,请两位帮忙分析分析怎么解决
回复

使用道具 举报

qianqian
 楼主| 发表于 2006-9-26 14:40:08 | 显示全部楼层

好象又错了

应该是在3层交换机的下面接了2层的是吧,要不3层转发的时候又把MAC改了是吧
回复

使用道具 举报

qianqian
 楼主| 发表于 2006-9-26 14:43:37 | 显示全部楼层

不好意思刚看到斑竹的链接

问了半天白痴问题,下不为例
回复

使用道具 举报

菜鸟人飞
发表于 2006-9-26 15:15:58 | 显示全部楼层
原帖由 qianqian 于 2006-9-26 14:37 发表
看了两位写的基本明白了,我这接的确实是一个3层交换机,上连就是路由器,如果在路由和3层交换机之间在接个2层的交换机是不是能捕捉到真实的内网的MAC呢?还有两位提到的分路器是什么?软件还是硬件?
我这的网络老是有源IP和目的IP的都是外网IP的大量的SYN请求,不知道怎么办才好,请两位帮忙分析分析怎么解决

出现大量SYN请求,可能在遭受攻击哦。
把数据包文件发上来看看呢?
回复

使用道具 举报

karenzkk
发表于 2006-9-26 17:52:03 | 显示全部楼层
能讲讲分路器是什么东东么?
回复

使用道具 举报

菜鸟人飞
发表于 2006-9-27 09:15:23 | 显示全部楼层
本站中有相应的介绍
http://www.csna.cn/forum.php?mod=viewthread&tid=431
回复

使用道具 举报

翱翔鸟
发表于 2009-6-1 23:41:39 | 显示全部楼层
http://www.csna.cn/forum.php?mod ... e%3D1&frombbs=1

这么布置可合吗?麻烦帮我看下.
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表