如何嗅探本地网络?

How to sniff local network?

我在 Whosebug 和 Internet 上进行了搜索,但找不到我要找的东西。这是我的设置:

我有三台计算机,A、B 和 C,连接到路由器(未连接到互联网)。我想让计算机 A 看到 B 在做什么,这意味着要看到 B 发送给 C 的所有数据。A、B 和 C 都连接到 router。我尝试了多种解决方案,并使用 arpspoof 成功查看了一些数据,但我看不到我感兴趣的内容。

B 实际上是连接到存储在 C (HTTP) 中的网站。该网站上有一个使用 post 方法发送数据的表单。我想在 B 发送给 C 时看到 A 的这种形式的数据。

你能帮帮我吗?我不确定如何做这样的事情。感谢您的宝贵时间和帮助。

如果你可以访问所有这些电脑,你可以在每台主机上安装 wireshark+popcap 并配置一个侦听器 "trace" 所有传输到特定 host/ip(每个主机的本地 IP机器).. 只需在 b 上为 c 上的任何通信配置一个侦听器,并将文件保存在 a 与 b 共享的存储区域中,以便 b 可以即时访问它。 或者它应该让用户忘记整个事情?

如果所有计算机都通过有线连接到路由器,那么它们正在使用路由器内部的内置交换机。交换机不允许您查看不打算由您的 NIC 接收的数据包。这就是为什么你什么都看不到的原因。

您需要执行以下操作之一:

  • 获取一个旧集线器(不是交换机)并将您的计算机连接到它。集线器将愉快地将所有数据包转发到所有端口。
  • 如果路由器固件允许,请将一个端口指定为“混杂端口”,以便将任何数据包的副本转发给它,并在该端口上连接您的数据包分析器。这可以在高端交换机系统中完成,但在 SoHo 设备上不太可能。
  • 使用 "MAC flooding"-like attack 让您的交换机将其他设备数据包转发到接收攻击的端口。这与 ARP 欺骗不同。
  • 通过 wifi 连接您的设备,并在您将用来嗅探网络的计算机中使用支持混杂的无线网卡。我不确定你是否会以这种方式看到解密的数据包。
  • 如果您不允许主机 A(运行 数据包嗅探器)发送除欺骗性 ARP 响应之外的任何实际数据包,则您尝试过的 ARP 欺骗方法效果最好。这将避免开关忘记欺骗 MAC 地址以学习更新的真实 MAC 地址。您可能看不到所有数据包,但只能看到指向 B 或 C 而不是两者的数据包。这取决于 MAC 表在内部交换机中的实际实现方式。

如果您的交换机有跨接端口,您可以将计算机 A 连接到跨接端口并将其配置为侦听流量 to/from 计算机 B。