如何嗅探本地网络？

Question

我在 StackOverflow 和 Internet 上进行了搜索，但找不到我要查找的内容。这是我的设置：

我有三台计算机，A、B 和 C，连接到路由器（未连接到互联网）。我想让计算机 A 看到 B 在做什么，这意味着看到 B 发送给 C 的所有数据。A、B 和 C 都连接到 router。我尝试了多种解决方案，并使用 arpspoof 成功查看了一些数据，但看不到我感兴趣的内容。

B 实际上是连接到存储在 C (HTTP) 中的网站。在这个网站上是一个使用 post 方法发送数据的表单。当 B 发送给 C 时，我想从 A 看到这种形式的数据。

你能帮我吗？我不确定如何做这样的事情。感谢您的时间和帮助。

Answer 1

如果所有计算机都通过有线连接到路由器，则它们正在使用路由器内部的内置交换机。该开关不允许您查看不打算由您的 NIC 接收的数据包。这就是为什么你什么都看不到的原因。

您需要执行以下操作之一：

• 获取一个旧集线器（不是交换机）并将您的计算机连接到它。集线器会愉快地将所有数据包转发到所有端口。
• 如果路由器固件允许，将一个端口指定为“混杂端口”，以便将任何数据包的副本转发给它，并将数据包分析器连接到该端口。这可以在高端交换机系统中完成，但在 SoHo 设备上不太可能。
• 使用"MAC flooding"-like attack 让您的交换机将其他设备数据包转发到接收攻击的端口。不过，这与 ARP 欺骗不同。
• 通过 wifi 连接您的设备，并在您将用来嗅探网络的计算机中使用启用了混杂功能的无线网卡。我不确定你是否会以这种方式看到解密的数据包。
• 如果您不允许主机A（运行数据包嗅探器的主机）发送除欺骗的 ARP 响应之外的任何实际数据包，则您尝试过的 ARP 欺骗方法效果最佳。这将避免交换机忘记伪造的 MAC 地址来学习更新的真实 MAC 地址。您可能看不到所有数据包，而只能看到那些定向到 B 或 C 而不是两者的数据包。这取决于 MAC 表在内部交换机中的实际实现方式。

Answer 2

如果你可以访问所有这些电脑，你可以在每台主机上安装wireshark+popcap，并配置一个监听器来“跟踪”所有对特定主机/ip（每台机器的本地ip）的传输。 只需在 b 上为 c 上的任何通信配置一个侦听器，并将文件保存在从 a 到 b 共享的存储区域中，以便 b 可以动态访问它。 或者它应该是让用户忘记整个事情的东西？

Answer 3

如果您的交换机有跨接端口，您可以将计算机 A 连接到跨接端口并将其配置为侦听进出计算机 B 的流量。