내 네트워크 카드에 속하지 않더라도 내 네트워크 카드로 들어오는 모든 패킷을 어떻게 캡처합니까?

Question 1

AFAIK, NIC는 LAN 라인의 모든 패킷을 허용하지만 대상 주소가 IP와 같지 않은 패킷은 거부합니다.

수정: 해당 대상에 대한 패킷을 거부합니다.사과주소가 해당 주소와 동일하지 않습니다.MAC 주소(또는 해당 필터의 멀티캐스트 또는 기타 주소.

패킷 캡처 유틸리티는 네트워크 장치를 무차별 모드로 쉽게 전환할 수 있습니다. 즉, 위의 검사가 우회되고 장치가 수신하는 모든 것을 수락합니다. 실제로 이는 일반적으로 기본 설정입니다. 을 사용할 때 이 옵션을 tcpdump지정해야 합니다 .-p아니요해.

더 중요한 질문은 관심 있는 패킷이 유선을 통해 스니핑 포트로 전송되는지 여부입니다. 관리되지 않는 이더넷 스위치를 사용하고 있으므로 거의 확실하지 않습니다. 스위치는 네트워크 장치가 패킷을 보기를 기대하고 귀하에게 속하지 않기 전에 포트에서 패킷을 삭제하기로 결정합니다.

이 작업을 수행하려면 관리형 이더넷 스위치에 특별히 구성된 미러 또는 모니터링 포트에 연결해야 합니다.

Answer

AFAIK, NIC는 LAN 라인의 모든 패킷을 허용하지만 대상 주소가 IP와 같지 않은 패킷은 거부합니다.

수정: 해당 대상에 대한 패킷을 거부합니다.사과주소가 해당 주소와 동일하지 않습니다.MAC 주소(또는 해당 필터의 멀티캐스트 또는 기타 주소.

패킷 캡처 유틸리티는 네트워크 장치를 무차별 모드로 쉽게 전환할 수 있습니다. 즉, 위의 검사가 우회되고 장치가 수신하는 모든 것을 수락합니다. 실제로 이는 일반적으로 기본 설정입니다. 을 사용할 때 이 옵션을 tcpdump지정해야 합니다 .-p아니요해.

더 중요한 질문은 관심 있는 패킷이 유선을 통해 스니핑 포트로 전송되는지 여부입니다. 관리되지 않는 이더넷 스위치를 사용하고 있으므로 거의 확실하지 않습니다. 스위치는 네트워크 장치가 패킷을 보기를 기대하고 귀하에게 속하지 않기 전에 포트에서 패킷을 삭제하기로 결정합니다.

이 작업을 수행하려면 관리형 이더넷 스위치에 특별히 구성된 미러 또는 모니터링 포트에 연결해야 합니다.

Question 2

스위치가 아닌 초기 이더넷 허브에서는 전송된 패킷을 서브넷의 모든 호스트에서 사용할 수 있었지만 의도한 수신자가 아닌 호스트는 무시해야 합니다.

분명히 서브넷이 포화되는 데는 오랜 시간이 걸리지 않았기 때문에 이러한 문제를 해결하기 위해 스위치 기술이 탄생했으며, 그들이 한 한 가지는 네트워크 스위치가 해당 호스트로 향하는 패킷만 해당 포트로 라우팅하도록 하는 것이었습니다. 방송 트래픽)).

호스트에 속한 패킷만 스니핑할 수 있으므로 네트워크 모니터링/스니핑이 복잡해집니다. 보안 관점에서 이는 좋은 것으로 간주되지만 네트워크 모니터링 관점에서는 그렇지 않습니다. 네트워크 모니터링이 작동하도록 하기 위해 공급업체는 포트 미러링이라는 기능을 구현합니다. 이는 네트워크 스위치에서 구성되어야 하며, 아래 링크는 D-link 제품에 대한 올바른 방향을 알려줍니다. 스위치 관리 소프트웨어나 웹 관리 인터페이스 어딘가에서 찾을 수 있습니다. 이러한 기능을 찾을 수 없다면 해당 특정 장치에서는 해당 기능을 사용하지 못할 수도 있습니다.

http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring

Answer

스위치가 아닌 초기 이더넷 허브에서는 전송된 패킷을 서브넷의 모든 호스트에서 사용할 수 있었지만 의도한 수신자가 아닌 호스트는 무시해야 합니다.

분명히 서브넷이 포화되는 데는 오랜 시간이 걸리지 않았기 때문에 이러한 문제를 해결하기 위해 스위치 기술이 탄생했으며, 그들이 한 한 가지는 네트워크 스위치가 해당 호스트로 향하는 패킷만 해당 포트로 라우팅하도록 하는 것이었습니다. 방송 트래픽)).

호스트에 속한 패킷만 스니핑할 수 있으므로 네트워크 모니터링/스니핑이 복잡해집니다. 보안 관점에서 이는 좋은 것으로 간주되지만 네트워크 모니터링 관점에서는 그렇지 않습니다. 네트워크 모니터링이 작동하도록 하기 위해 공급업체는 포트 미러링이라는 기능을 구현합니다. 이는 네트워크 스위치에서 구성되어야 하며, 아래 링크는 D-link 제품에 대한 올바른 방향을 알려줍니다. 스위치 관리 소프트웨어나 웹 관리 인터페이스 어딘가에서 찾을 수 있습니다. 이러한 기능을 찾을 수 없다면 해당 특정 장치에서는 해당 기능을 사용하지 못할 수도 있습니다.

http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring

Question 3

먼저, 네트워크 카드를 무차별 모드로 전환해야 합니다. NIC 인터페이스가 eth0이라고 가정합니다.

root@linux#ifconfig eth0 promesc

스위치 네트워크에 있는 경우 스니핑은 스위치 포트에 연결된 충돌 도메인으로 축소됩니다. 이를 실행하여 macof스위치의 전달 테이블을 압도할 수 있습니다.

root@linux#macof -i eth0

wireshark그런 다음 또는 를 사용하여 tcpdump모든 트래픽을 캡처 할 수 있습니다 .

root@linux#tcpdump -i eth0 -w outputfile

스위치 네트워크를 사용하지 않는 경우 무차별 모드를 활성화하고 tcpdump.

Answer

먼저, 네트워크 카드를 무차별 모드로 전환해야 합니다. NIC 인터페이스가 eth0이라고 가정합니다.

root@linux#ifconfig eth0 promesc

스위치 네트워크에 있는 경우 스니핑은 스위치 포트에 연결된 충돌 도메인으로 축소됩니다. 이를 실행하여 macof스위치의 전달 테이블을 압도할 수 있습니다.

root@linux#macof -i eth0

wireshark그런 다음 또는 를 사용하여 tcpdump모든 트래픽을 캡처 할 수 있습니다 .

root@linux#tcpdump -i eth0 -w outputfile

스위치 네트워크를 사용하지 않는 경우 무차별 모드를 활성화하고 tcpdump.

Question 4

당신은 바퀴를 재발명하고 있습니다.

클라이언트가 스위치에 연결되어 있고 인터넷에 대한 기본 게이트웨이가 있는 간단한 네트워크가 있다고 가정하면 해당 기본 게이트웨이 장치에서만 모니터링하면 됩니다. 이는 디스플레이 LAN 클라이언트와 인터넷 간의 모든 트래픽에 병목 현상이 발생합니다.

모든 IP 주소가 동일한 IP 서브넷 내에 있고 로컬 트래픽이 기본 게이트웨이에 도달하지 않기 때문에 LAN 클라이언트 간 트래픽은 중요하지 않다고 가정합니다.

모든 트래픽을 실제로 보려면 각 사용자가 자신의 IP 네트워크에 있어야 하며 다른 네트워크로의 트래픽은 기본 게이트웨이를 통과해야 합니다. 각 사람에게 /28을 할당할 수 있으며 14개의 IP를 가질 수 있습니다.

일반적인 가정용 라우터는 이 중 많은 부분을 처리할 수 없으므로 전용 방화벽 배포판을 탐색해야 합니다. 개인적으로 pfsense가 첫 번째 선택이지만 옵션이 많습니다.

Answer