这是一个创建于 2397 天前的主题,其中的信息可能已经有所发展或是发生改变。
在路由器安装了 tcpdump,运行正常。
使用类似 "tcpdump -ni eth0 -s 0 -w - not port 22" | "C:\Program Files\Wireshark\Wireshark.exe" -k -i -
可以在本机打开 wireshark 看到部分包数据
但是某个设备比如 ip 是 192.168.1.144 如果用 host 192.168.1.144 就抓不到。
实际肯定是有通信的
目标是分析局域网内两网卡之间的通信,类似 192.168.1.144 和 192.168.1.143
我的理解是用 host 192.168.1.144 或者 host 192.168.1.143 应该都可以看到。
实际是一条都看不到。
如果不在 tcpdump 里面写这个参数,在 wireshark 里还能看到一部分。
有没有人知道这个一般可能是什么问题?
使用类似 "tcpdump -ni eth0 -s 0 -w - not port 22" | "C:\Program Files\Wireshark\Wireshark.exe" -k -i -
可以在本机打开 wireshark 看到部分包数据
但是某个设备比如 ip 是 192.168.1.144 如果用 host 192.168.1.144 就抓不到。
实际肯定是有通信的
目标是分析局域网内两网卡之间的通信,类似 192.168.1.144 和 192.168.1.143
我的理解是用 host 192.168.1.144 或者 host 192.168.1.143 应该都可以看到。
实际是一条都看不到。
如果不在 tcpdump 里面写这个参数,在 wireshark 里还能看到一部分。
有没有人知道这个一般可能是什么问题?
5 条回复 • 2018-05-02 15:28:28 +08:00
 |
1
jasonyang9 2018-05-02 15:09:25 +08:00  1
>如果不在 tcpdump 里面写这个参数,在 wireshark 里还能看到一部分。
这部分指 114 和 143 之间的通信还是其它? 具体拓扑?同一网段中 2 台主机通信是不会通过路由器的,通常在交换机层面就完成了。要开启交换机的 Port Mirroring,将所有数据都复制一份给抓包设备。 |
|
2
jasonyang9 2018-05-02 15:10:07 +08:00
写错了,是 144 @jasonyang9
|
 |
3
nullcoder OP @jasonyang9 估计是你说的问题,我也估计是这个。
144 和 143 在一个交换机下面,“一部分”是外网 IP 和 144 的通信,肯定是要过路由器的。 但这个不是网管型交换机,没有配置页面可以设置,不知道怎么做 port mirroring。 |
|
4
jasonyang9 2018-05-02 15:26:21 +08:00
找个 HUB,把 144 和 143 和路由器连一起
|
|
5
nullcoder OP @jasonyang9 那可以用 hub 直接把 144,143,和装了 wireshark 的 PC 连一起
|
Select Language