mein tcpdump filtert immer pakete?

764

Ich verwende tcpdump nun seit etwa einem Monat und hat kürzlich keine Pakete mehr erfasst, die nicht an den Computer gesendet wurden, auf dem tcpdump ausgeführt wird. Ich habe meinen Befehl reduziert, um nur:

sudo tcpdump -i en2 

Ich habe meine Schnittstellen mit ifconfig überprüft und en2 befindet sich im "PROMISC" -Modus. Wenn Sie einen bestimmten Host als Filter angeben, sehe ich nur ein paar "arp" -Meldungen, aber nichts im Vergleich zu dem, was tatsächlich im Netzwerk vor sich geht.

Irgendwelche Ideen, warum dies passieren würde? Sehr geschätzt, wenn jemand einen Rat geben kann!

Richard

0

2 Antworten auf die Frage

1
Spiff

Möglicherweise wurde Ihr Netzwerk kürzlich von einem Hub zu einem Switch aktualisiert. Switches erfahren, an welchen Port eine bestimmte MAC-Adresse angeschlossen ist, und leiten den Verkehr für diese MAC-Adresse nur an diesen einen Port weiter. Multicasts und Broadcasts (wie ARP) werden weiterhin an alle Ports weitergeleitet.

Um Unicast-Datenverkehr für andere Hosts zu sehen, während eine Verbindung zu einem Switch besteht, ist die übliche Lösung die Verwendung eines verwaltbaren Switches, der "Port Mirroring" unterstützt. Hier können Sie konfigurieren, dass der gesamte Datenverkehr kopiert wird, der einen bestimmten Port durchquert hätte zu einem zweiten Port, an den Ihr Sniffer angeschlossen ist.

Es gibt auch Hacker-Tools, mit denen Sie den Unicast-Verkehr anderer Geräte in einem Switched-Netzwerk anzeigen können, z. B. ARP-Poisoning-Tools, um die anderen Maschinen dazu zu bringen, ihren Datenverkehr an Sie zu senden, als wären Sie der Standardrouter des Netzwerks.

0
Gohu

Wenn tcpdumpdie -nOption ohne die Option ausgeführt wird, wird eine DNS-Suche nach den IP-Adressen durchgeführt, die angezeigt werden. Dies kann erklären, warum Sie keine Pakete sehen, sobald sie ankommen. Auf der tcpdump-Manpage :

-n Don't convert addresses (i.e., host addresses, port numbers, etc.) to names. 

Ich verwende immer tcpdump mit der -nOption, um dieses Problem zu vermeiden:

sudo tcpdump -n -i en2