AFAIK, NIC menerima semua paket dari kabel di Jaringan Area Lokal tetapi menolak paket-paket yang alamat tujuannya tidak sama dengan ip-nya.
Koreksi:ia menolak paket-paket yang menjadi tujuan mereka MAC alamat tidak sama dengan alamat MAC-nya (atau multicast atau alamat tambahan apa pun di filternya.
Utilitas penangkapan paket dapat dengan mudah menempatkan perangkat jaringan ke mode promiscuous, artinya pemeriksaan di atas dilewati dan perangkat menerima semua yang diterimanya. Sebenarnya, ini biasanya defaultnya:dengan tcpdump
, Anda harus menentukan -p
opsi untuk tidak lakukan itu.
Masalah yang lebih penting adalah apakah paket yang Anda minati bahkan dibawa melalui kabel ke port sniffing Anda sama sekali. Karena Anda menggunakan sakelar ethernet yang tidak dikelola, hampir pasti tidak. Sakelar memutuskan untuk memangkas paket yang bukan milik Anda dari port Anda sebelum perangkat jaringan Anda dapat berharap untuk melihatnya.
Anda harus terhubung ke port pencerminan atau pemantauan yang dikonfigurasi secara khusus pada sakelar ethernet terkelola untuk melakukan ini.
Di awal kata hub ethernet (bukan switch), paket yang dikirim tersedia untuk semua host di subnet, tetapi host yang bukan penerima yang dituju seharusnya diabaikan.
Jelas, tidak butuh waktu lama untuk subnet menjadi jenuh, sehingga teknologi switch lahir untuk memecahkan masalah, dan salah satu hal yang mereka lakukan adalah membuat switch jaringan hanya merutekan paket yang ditujukan untuk host tersebut ke port tersebut (ditambah andy lalu lintas siaran ).
Ini mempersulit pemantauan/pengendusan jaringan karena Anda hanya dapat mengendus paket yang ada untuk host Anda. Ini dianggap sebagai hal yang baik dari sudut pandang keamanan, tetapi dari sudut pandang pemantauan jaringan tidak begitu baik. Agar pemantauan jaringan berfungsi, vendor menerapkan fitur yang disebut pencerminan port. Ini harus dikonfigurasi pada sakelar jaringan, dan tautan di bawah ini akan mengarahkan Anda ke arah yang benar untuk produk D-link. Anda akan menemukannya di suatu tempat di perangkat lunak manajemen sakelar atau antarmuka admin web. Jika Anda tidak menemukan fitur ini, maka fungsionalitas tersebut mungkin tidak tersedia di perangkat khusus tersebut.
http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring
Pertama, Anda perlu mengalihkan NIC Anda ke mode promiscuous. Misalkan antarmuka NIC Anda adalah eth0.
[email protected]#ifconfig eth0 promesc
Jika Anda berada di jaringan switch, sniffing Anda direduksi menjadi domain tabrakan yang terhubung ke port switch Anda. Anda dapat menjalankan macof
untuk membanjiri tabel penerusan sakelar.
[email protected]#macof -i eth0
Kemudian Anda dapat menggunakan wireshark
atau tcpdump
untuk menangkap semua lalu lintas.
[email protected]#tcpdump -i eth0 -w outputfile
Jika Anda tidak berada di jaringan yang diaktifkan, cukup aktifkan mode promiscuous dan gunakan tcpdump
.