해당 패킷이 나에게 속하지 않은 경우에도 NIC로 들어오는 모든 패킷을 캡처하는 방법

Question 1

AFAIK, NIC는 LAN(Local Area Network)의 유선에서 모든 패킷을 수신하지만 대상 주소가 IP와 같지 않은 패킷을 거부합니다.

정정: 목적지로 가는 패킷을 거부합니다.맥주소가 해당 주소와 동일하지 않습니다.MAC 주소(또는 해당 필터의 멀티캐스트 또는 추가 주소.

패킷 캡처 유틸리티는 네트워크 장치를 무차별 모드로 간단하게 설정할 수 있습니다. 즉, 위의 검사가 우회되고 장치가 수신하는 모든 것을 수락한다는 의미입니다. 실제로 이는 일반적으로 기본값입니다. 를 사용 하려면 옵션 tcpdump을 지정해야 합니다.-p~ 아니다해.

더 중요한 문제는 관심 있는 패킷이 스니핑 포트로 전송되는지 여부입니다. 관리되지 않는 이더넷 스위치를 사용하고 있으므로 거의 확실하지 않습니다. 스위치는 네트워크 장치가 패킷을 보기 전에 포트에서 귀하에게 속하지 않은 패킷을 정리하기로 결정합니다.

이를 위해서는 관리되는 이더넷 스위치에 특별히 구성된 미러링 또는 모니터링 포트에 연결해야 합니다.

Answer

AFAIK, NIC는 LAN(Local Area Network)의 유선에서 모든 패킷을 수신하지만 대상 주소가 IP와 같지 않은 패킷을 거부합니다.

정정: 목적지로 가는 패킷을 거부합니다.맥주소가 해당 주소와 동일하지 않습니다.MAC 주소(또는 해당 필터의 멀티캐스트 또는 추가 주소.

패킷 캡처 유틸리티는 네트워크 장치를 무차별 모드로 간단하게 설정할 수 있습니다. 즉, 위의 검사가 우회되고 장치가 수신하는 모든 것을 수락한다는 의미입니다. 실제로 이는 일반적으로 기본값입니다. 를 사용 하려면 옵션 tcpdump을 지정해야 합니다.-p~ 아니다해.

더 중요한 문제는 관심 있는 패킷이 스니핑 포트로 전송되는지 여부입니다. 관리되지 않는 이더넷 스위치를 사용하고 있으므로 거의 확실하지 않습니다. 스위치는 네트워크 장치가 패킷을 보기 전에 포트에서 귀하에게 속하지 않은 패킷을 정리하기로 결정합니다.

이를 위해서는 관리되는 이더넷 스위치에 특별히 구성된 미러링 또는 모니터링 포트에 연결해야 합니다.

Question 2

이더넷 허브(스위치 아님)에 대한 초기 설명에서는 전송된 패킷을 서브넷의 모든 호스트에서 사용할 수 있지만 의도된 수신자가 아닌 호스트는 무시해야 합니다.

분명히 서브넷이 포화되는 데는 오랜 시간이 걸리지 않았기 때문에 문제를 해결하기 위해 스위치 기술이 탄생했으며 그들이 한 일 중 하나는 네트워크 스위치가 해당 호스트로 향하는 패킷만 해당 포트로 라우팅하도록 만드는 것이었습니다(및 앤디 브로드캐스트 트래픽 ).

호스트에 대한 패킷만 스니핑할 수 있으므로 네트워크 모니터링/스니핑이 복잡해집니다. 이는 보안 관점에서는 좋은 것으로 간주되었지만 네트워크 모니터링 관점에서는 그리 좋지 않았습니다. 네트워크 모니터링이 작동하도록 하기 위해 공급업체는 포트 미러링이라는 기능을 구현합니다. 이는 네트워크 스위치에서 구성되어야 하며, 아래 링크는 D-link 제품에 대한 올바른 방향을 알려줍니다. 스위치 관리 소프트웨어나 웹 관리 인터페이스 어딘가에서 찾을 수 있습니다. 이러한 기능을 찾을 수 없다면 해당 특정 장치에서 기능이 제공되지 않을 수 있습니다.

http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring

Answer

이더넷 허브(스위치 아님)에 대한 초기 설명에서는 전송된 패킷을 서브넷의 모든 호스트에서 사용할 수 있지만 의도된 수신자가 아닌 호스트는 무시해야 합니다.

분명히 서브넷이 포화되는 데는 오랜 시간이 걸리지 않았기 때문에 문제를 해결하기 위해 스위치 기술이 탄생했으며 그들이 한 일 중 하나는 네트워크 스위치가 해당 호스트로 향하는 패킷만 해당 포트로 라우팅하도록 만드는 것이었습니다(및 앤디 브로드캐스트 트래픽 ).

호스트에 대한 패킷만 스니핑할 수 있으므로 네트워크 모니터링/스니핑이 복잡해집니다. 이는 보안 관점에서는 좋은 것으로 간주되었지만 네트워크 모니터링 관점에서는 그리 좋지 않았습니다. 네트워크 모니터링이 작동하도록 하기 위해 공급업체는 포트 미러링이라는 기능을 구현합니다. 이는 네트워크 스위치에서 구성되어야 하며, 아래 링크는 D-link 제품에 대한 올바른 방향을 알려줍니다. 스위치 관리 소프트웨어나 웹 관리 인터페이스 어딘가에서 찾을 수 있습니다. 이러한 기능을 찾을 수 없다면 해당 특정 장치에서 기능이 제공되지 않을 수 있습니다.

http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring

Question 3

먼저 NIC를 무차별 모드로 전환해야 합니다. NIC 인터페이스가 eth0이라고 가정해 보겠습니다.

root@linux#ifconfig eth0 promesc

스위치 네트워크에 있는 경우 스니핑은 스위치 포트에 연결되는 충돌 도메인으로 줄어듭니다. macof스위치의 포워딩 테이블을 압도하여 달릴 수 있습니다 .

root@linux#macof -i eth0

wireshark그런 다음 또는 를 사용하여 tcpdump모든 트래픽을 캡처 할 수 있습니다 .

root@linux#tcpdump -i eth0 -w outputfile

스위치 네트워크를 사용하지 않는 경우 무차별 모드를 활성화하고 tcpdump.

Answer

먼저 NIC를 무차별 모드로 전환해야 합니다. NIC 인터페이스가 eth0이라고 가정해 보겠습니다.

root@linux#ifconfig eth0 promesc

스위치 네트워크에 있는 경우 스니핑은 스위치 포트에 연결되는 충돌 도메인으로 줄어듭니다. macof스위치의 포워딩 테이블을 압도하여 달릴 수 있습니다 .

root@linux#macof -i eth0

wireshark그런 다음 또는 를 사용하여 tcpdump모든 트래픽을 캡처 할 수 있습니다 .

root@linux#tcpdump -i eth0 -w outputfile

스위치 네트워크를 사용하지 않는 경우 무차별 모드를 활성화하고 tcpdump.

Question 4

당신은 바퀴를 재발명하고 있습니다.

클라이언트가 스위치에 연결되고 인터넷에 대한 기본 게이트웨이가 있는 간단한 네트워크가 있다고 가정하면 해당 기본 게이트웨이 장치에서만 모니터링하면 됩니다. 이는 LAN 클라이언트와 인터넷 간의 모든 트래픽을 표시하는 관문이 됩니다.

LAN 클라이언트 간 트래픽은 관심이 없다고 가정합니다. 모든 IP 주소가 동일한 IP 서브넷 내에 있으면 로컬 트래픽이 기본 게이트웨이에 닿지 않기 때문입니다.

정말로 모든 트래픽을 보려면 각 사용자가 자신의 IP 네트워크에 있어야 하고 다른 네트워크로의 트래픽은 기본 게이트웨이를 통해 이루어져야 합니다. 각 사람에게 /28을 할당할 수 있으며 그 사람은 자신에게 14개의 IP를 가질 수 있습니다.

일반적인 가정용 라우터는 이 중 많은 부분을 처리하지 못하므로 전용 방화벽 배포판을 탐색해야 합니다. 개인적으로 pfsense를 선호하지만 옵션이 많이 있습니다.

Answer