나는 현재 tcpdump를 배우고 있는데 그것을 알아낼 수 없습니다. 내가 입력할 때:
sudo tcpdump
내 컴퓨터에서 들어오고 나가는 모든 트래픽이 있습니다. 내 네트워크나 다른 네트워크(예: IP 지정)의 모든 내용을 듣는 데 이를 어떻게 적용합니까?
시도해 보았지만 sudo tcpdump host xxx.xxx.xxx.xxx출력이 없습니다.
또한 내 웹사이트에 들어오고 나가는 트래픽을 모니터링하려면 어떻게 해야 합니까?
시도해 보았지만 sudo tcpdump -n dst host gmail.com여전히 출력이 없습니다.
감사해요!
답변1
일반적으로 호스트는 다음만 수신할 수 있습니다.
- 특별히 전송된 모든 트래픽(유니캐스트)
- 어느방송연결된 특정 네트워크 세그먼트 내의 트래픽
- 어느멀티캐스트수신된 네트워크 세그먼트 내에서 사용 가능한 트래픽을 구체적으로 요청합니다.
받다모두교통량귀하가 소유한 네트워크 세그먼트, tcpdumping 시스템이 연결된 특정 스위치 포트로 모든 트래픽의 복사본을 보내도록 구성할 수 있는 관리형 네트워크 스위치가 필요합니다.
몇 가지 기술적인 제한 사항이 있습니다. 예를 들어 네트워크 세그먼트의 총 트래픽이 단일 스위치 포트가 처리할 수 있는 트래픽을 초과하는 경우 tcpdumping 시스템은 여러 포트를 병렬로 사용하지 않는 한 모든 트래픽을 수신할 수 없습니다(아마도 결합/팀 구성). 구성).
대안으로, 스위치가 어떤 포트에 무엇이 연결되어 있는지 추적할 수 없도록 스위치 MAC 테이블 스푸핑 공격을 수행하여 모든 것을 브로드캐스트로 보내기 시작할 수 있습니다. 그러나 그것은 단지 수동적으로 듣는 것이 아니라 적극적인 공격이 될 것입니다.
최신 관리형 스위치에는 MAC 스푸핑 방지 기능이 있습니다. 이러한 스위치에 MAC 스푸핑 공격을 시도하면 포트가 완전히 종료되거나 네트워크 관리자에게 경고가 발생할 수 있습니다. 즉, 직장에서 이런 일을 하면 일자리 손실이 매우 빨리 발생할 수 있습니다.
모든 교통 상황을 들어라컴퓨터와 gmail.com 사이하지만 sudo tcpdump -s0 -nvv host gmail.comgmail.com으로 들어오는 모든 트래픽을 수신하려는 노력은 소용이 없습니다. gmail.com은 전 세계에 여러 인스턴스가 있는 지리적으로 분산된 웹사이트입니다. 각 사용자는 일반적으로 네트워크 연결 측면에서 상대적으로 가까운 인스턴스에 연결됩니다.
인터넷 라우팅 프로토콜을 공격하여 전 세계 사람들이 자신의 네트워크가 gmail.com이 있는 곳이라고 믿게 만들 수 있다고 해도(효과적으로 gmail.com 트래픽을 사용자에게 가져옴) 트래픽은 자신의 네트워크 연결뿐만 아니라 하지만 네트워크 제공업체의 로컬 장비도 마찬가지입니다.