두 대의 PC에 ping을 보내고 세 번째 PC에서 ICMP 캡처를 시도합니다.

두 대의 PC에 ping을 보내고 세 번째 PC에서 ICMP 캡처를 시도합니다.

세 대의 컴퓨터가 설정되어 있으며 모두 동일한 서브넷에 있고 스위치에 연결되어 있습니다. 모든 서비스 이용이 가능합니다. PC(1)에서 PC(2)로 핑을 보냅니다. PC(3)로 tshark를 열었지만 PC(3)용이 아닌(또는 소스가 있는) 패키지를 볼 수 없습니다.

Wireshark, tcpdump, tshark 등과 같은 다양한 패킷 캡처 소프트웨어는 무차별 모드에서도 패킷 캡처 호스트로 전송되지 않는 트래픽을 볼 수 없습니다.

답변1

다음의 경우를 제외하고는 불가능합니다.

  1. 세 대의 기계가 모두 하나의 장치에 연결되어 있습니다.네트워크 허브하나보다는네트워크 스위치. 허브가 아직도 만들어지는지는 모르겠지만(1990년대 이후에는 본 적도 없는 것 같습니다) 차이점은 다음과 같습니다.

    • 허브("리피터"라고도 함)를 통해 네트워크의 모든 패킷은 허브의 모든 포트로 전송됩니다. 네트워크에 장치가 많으면 확장이 잘 되지 않습니다.

    • 스위치는 어떤 장치(예: MAC 주소)가 어떤 포트에 연결되어 있는지 나열하는 테이블을 유지 관리하므로 "브로드캐스트" 패킷만 전송됩니다(예: ARP WHO-HAS, DHCPDISCOVER 등과 같은 검색 패킷 및 네트워크에 대한 검색 패킷). 브로드캐스트 주소 패킷)을 모든 포트에 전송 - 스위치가 장치가 연결된 포트를 발견하면 해당 대상으로 전송된 패킷은 해당 포트로만 전송됩니다.

  2. 스위치의 포트 중 하나를 "무차별" 모드("포트 미러링"이라고도 함)로 구성하여 네트워크의 모든 패킷을 선택합니다. 이를 위해서는 일반적으로 이를 구성하기 위해 직렬 콘솔 포트나 http/https, telnet 또는 ssh 액세스가 있는 일종의 "스마트" 또는 관리형 스위치가 필요합니다.

    대부분의 저렴한 가정용/중소기업 스위치는 관리되지 않으며 구성할 수 없습니다. 일부 라우터/스위치 조합 장치(예:xDSL여러 LAN 포트가 있는 "모뎀")에는 때때로 몇 가지 기본적인 포트 구성 기능이 있습니다.

  3. 패킷 스니핑을 수행하려는 시스템에는 두 개의 네트워크 인터페이스(각 인터페이스는 다른 두 시스템 중 하나에 직접 연결됨)가 있으며 두 네트워크 세그먼트 간의 브리지 또는 라우터 역할을 합니다.

답변2

전용 장치에 대해 언급하지 않았으므로 이러한 PC를 연결하기 위해 표준 스위치를 사용하고 있다고 가정합니다. 일반 스위치는 MAC 주소 테이블을 사용합니다. 기본적으로는 "MAC → 포트(물리적 커넥터)로 식별되는 PC"의 매핑입니다. 이를 통해 스위치는 유니캐스트 패킷을 올바른 포트로 보낼 수 있습니다. 다른 포트의 PC는 패킷을 수신할 수 없습니다. 목적지를 알 수 없는 패킷이나 브로드캐스트 패킷만 모든 포트에 출력됩니다. 이는 개인 정보를 보호하는 데 도움이 될 뿐만 아니라 전체 트래픽이 줄어들기 때문에 성능도 향상됩니다.

당신이 하고 싶은 것을 "스니핑"이라고 합니다. 이를 달성하는 다양한 방법이 있습니다.이 문제. 학문적 목적으로 두 개의 네트워크 카드가 있는 시스템이 있는 경우 브리지를 만들고 두 대의 PC를 세 번째 네트워크 카드에 연결할 수 있습니다. 이렇게 하면 트래픽도 모니터링할 수 있습니다.

관련 정보