Я пытаюсь отлаживать TCP-связь между двумя встроенными устройствами, только один из которых находится под моим контролем. Я хочу посмотреть, что происходит в Вирешарке, но я ничего не вижу. Возможно ли даже видеть трафик между удаленными хостами (но на том же коммутаторе) в Wireshark?Можно ли видеть TCP-трафик между двумя удаленными хостами в wirehark?
Не когда между вами и этими хостами находится переключатель (в отличие от концентратора). Коммутатор будет перенаправлять пакеты только на порт, на котором подключен хост назначения, а концентратор передает все пакеты, которые он видит во всех портах.
Что вы хотите, может быть достигнуто (временно) установкой концентратора, на котором подключен ваш компьютер и две системы, которые нужно понюхать.
EDIT: как указано в комментарии MattT, на многих более высоких концевых переключателях есть функция зеркального отображения, которая позволяет использовать один порт коммутатора для обнюхивания на другом порту. Вы можете спросить своего сетевого парня, есть ли у вашего коммутатора такая функция и получить доступ к этой функции для целей отладки.
Это зависит от вашего переключателя. Некоторые коммутаторы имеют функцию «port mirroring», которая позволяет вам зеркалировать весь трафик на конкретном физическом порту на другой порт.
Самый дешевый способ сделать это - подобрать базовую сеть hub. По умолчанию это будет реплицировать весь входящий и исходящий трафик на одном порту на всех других портах.
Спасибо за ответ, трудно выбрать между быстрым и полным ... – John
Это не самый дешевый способ увидеть мой ответ ниже. –
Вы можете увидеть любой IP-трафик на коммутаторе даже без зеркального отображения портов, если вы используете метод под названием ARP spoofing. Вы можете выполнить это с помощью инструмента, такого как ettercap. Я использую этот метод для устранения неполадок трафика VOIP между УАТС и IP-телефоном. После запуска спуфинга ARP вы увидите любой или весь IP-трафик на wirehark. Если вы сомневаетесь в законности этого решения, см. Legitimate usage на странице this wikipedia.
Просьба указать ** действительные ** причины для голосования этого ответа. –
Некоторые коммутаторы имеют функцию зеркального порта, что является возможностью для захвата пакетов, если у вас есть административный доступ и функция. – MattH
** Вы можете видеть трафик на коммутаторе **, если вы отравляете ARP. Если я правильно помню, вы можете использовать 'ettercap' для этого, а затем просмотреть трафик с помощью' wireshark'. –
@ EricdesCourtis технически вы правы, но это часто не очень практично (и может потенциально вызвать у вас проблемы, если вы попробуете это в корпоративной сети). – fvu