有一事不明莫怪问题低级

karlpopper · 发表于 2007-8-6 09:45:51

如果要使用科来 Sniffer EtherPeek这些工具，如果要想针对某一用户或所有用户进行数据采集那么是否就必须对交换机或者网关拥有操作权限，例如需要安装到网关上面，在交换环境下是否不可能监听到所有的以太帧，而只能监听到与本机有关系的呢，如果说我在客户机上，使用非网管交换机，可以监听到所有的帧吗
现在我用的是比较老土的办法，是用arp欺骗单个或者多个机器，然后让他们的数据流过我的网卡我再进行采集的，这样作也有方便的地方，就是权限不需要多高，又影响可控制。

karlpopper · 发表于 2007-8-6 09:56:42

刚发出帖子就找到了菜鸟人飞版主的帖子，但是答案不是很满意，有些失望，还是用我的老土办法吧@@

菜鸟人飞 · 发表于 2007-8-6 10:19:50

karlpopper的理解完全正确，在交换模式下，如果对交换机不具备管理功能，即在一个普通端口进行数据捕获，将只能捕获到和自己有关的数据通讯。

楼主对上述这种解释感到失望？认为应该在任何地方都能可以进行全网捕获才符合需求？

出于安全的角度，为什么交换机设置镜像功能？为什么只有对交换机具备管理权限的才可以抓包呢？

原因很简单，如果人人都可以随意抓取其它人的数据通讯，那网络安全从何谈起，网络泄密将变得随处可见？

而楼主所说的土方法，你自己也提到，是ARP欺骗，ARP欺骗在网络管理中，是一种公认的攻击。在网络管理人员中，我们难道要对网络攻击和进行大面积推广？我觉得这可能不是趋势。

zealotcc · 发表于 2007-8-6 10:22:44

首先你可以想想你目前的arp欺骗方法是否可以抓到内网中非本机间主机的流量,你现在的方法只是对所有主机的外网流量监控

交换环境下的完全监听是可以实现的,方法应该是简单的arp欺骗的扩展,针对所有内网机器mac的欺骗

打个比方,有三台机器 a b c,如果我用c要监控另外两台的流量,那么c就要告诉a网关是我,b的mac也是我,同理要告诉b网关是c,a的mac也是c,这样所有的流量都先经过c,达到完全的监听

但是实现起来的问题很多,内网机器数量如果很多,中间人主机还要对包进行正确转发,网络的延迟大大增加,

karlpopper · 发表于 2007-8-6 10:32:47

的确这样，二位分析的都有理，所以我个人感觉如果出现什么大问题就不太可能靠这种方法来作了，而是进行类似的思路进行解决，譬如说掩护真实网关，找一台机器重新作监控和数据转发的网关，再在这个机器上安装分析系统进行捕获，，毕竟很多网关都是个硬路由或者类UNIX EMBEDDED系统，想装个东西上去很难，ARP欺骗感觉也还是会有些问题，不排除某些被管理机器会出现不停提示IP冲突，具体原因还不明了，但可能跟防火墙有关

菜鸟人飞 · 发表于 2007-8-6 10:37:10

原帖由 karlpopper 于 2007-8-6 10:32 发表
的确这样，二位分析的都有理，所以我个人感觉如果出现什么大问题就不太可能靠这种方法来作了，而是进行类似的思路进行解决，譬如说掩护真实网关，找一台机器重新作监控和数据转发的网关，再在这个机器上安装分析 ...

网络分析，建议以旁路方式接入，这样得到的结果才会准确。
如果以ARP欺骗方式获得流量，这时由于你主动发出了大量数据，所以得到的分析结果本身就不准确，这样的分析意义并不是很大。

另外，推荐接入的地方是核心层交换机，而不是路由器等其它设备。

karlpopper · 发表于 2007-8-6 10:52:55

现在我等小菜能作的也就是看看哪些ICMP包泛滥了，还是谁在网络里说他是网关或者没事老扫不存在的IP了，但这些又多数是广播形式的，真抓了包也不会还原数据，好似也没必要

半吊子中

有一事不明 莫怪问题低级

有一事不明莫怪问题低级