如何结合分路器进行物理上的单向抓包？

yinyong · 发表于 2006-11-7 09:21:36

各位大侠：

我在网络中能够捕捉到ARP欺骗的MAC地址，但这是伪造的，我查不到真正发包的那台机，看了精华贴，菜鸟人飞版主曾提到过“结合分路器进行物理上的单向抓包”，不过对分路器的了解不够，想请问一下，哪有这工具买，然后有没有比较具体的步骤呀？多谢！

菜鸟人飞 · 发表于 2006-11-7 09:31:43

分路器介绍http://www.csna.cn/forum.php?mod=viewthread&tid=431

单端口的分路器有4个端口，两个用于连接网络的内外，另外两个连接到安装科来的机器上，其中一个是从外到内的数据包，一个是从内到外的数据。
根据上述的特性，你就可以抓取单向流通的数据包了。
打个比方：如果你抓取从内到外的数据包，这时出现源MAC是外面的（如网关）的机器，这表明内部主机肯定存在伪造MAC的攻击行为。这时再一步一步细化，对主机进行分段查找，即可查找具体的伪造源，即真凶。

KelvinFu · 发表于 2006-11-7 10:32:12

单口分路器，有2个网络接入口，2个网络监听口，分别都是一个进，一个出。

yinyong · 发表于 2006-11-7 11:48:39

多谢两位版主的回复！tks!