Question

У меня есть 2 сервера (serv1, serv2), которые общаются, и я пытаюсь прослушать пакеты, соответствующие определенным критериям, которые передаются из serv1 в serv2.Tshark установлен на моем рабочем столе (desk1).Я написал следующий скрипт:

while true; do
tshark -a duration:10 -i eth0  -R "(sip.CSeq.method == "OPTIONS") && (sip.Status-Code) && ip.src eq serv1" -Tfields -e sip.response-time > response.time.`date +%F-%T`
 done

Этот скрипт работает нормально при запуске на serv1 (так как serv1 отправляет пакеты на serv2).Тем не менее, когда я пытаюсь запустить это на desk1, он не может перехватить любые пакеты.Все они находятся в одной локальной сети.Чего мне не хватает?

Mike Pennington · Answer 1 · 29 ноября 2011

Предполагая, что serv1 или serv2 находятся на том же физическом коммутаторе Ethernet, что и desk1, вы можете прослушивать транзитный трафик между serv1 и serv2 с помощью функции SPAN (Switch Port Analyzer).

Предположим, что ваш сервер работает на FastEtheret4 / 2, а ваш рабочий стол - на FastEthernet4 / 3 коммутатора Cisco ... вам следует подключиться к коммутатору через telnet или ssh и ввести эти команды ...

4507R#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.

4507R(config)#monitor session 1 source interface fastethernet 4/2

!--- This configures interface Fast Ethernet 4/2 as source port.

4507R(config)#monitor session 1 destination interface fastethernet 4/3

!--- The configures interface Fast Ethernet 0/3 as destination port.



4507R#show monitor session 1
Session 1
---------
Type : Local Session
Source Ports :
Both : Fa4/2
Destination Ports : Fa4/3


4507R#

Thisэта функция не ограничивается устройствами Cisco ... ее также поддерживают Juniper / HP / Extreme и другие поставщики Ethernet-коммутаторов Enterprise.

Adrian Cornish · Answer 2 · 29 ноября 2011

Как насчет использования неправильно названного tcpdump, который будет захватывать весь трафик с провода. То, что я предлагаю сделать, это просто захват пакетов на интерфейсе. Не фильтруйте на уровне захвата. После вы можете отфильтровать файл pcap. Как то так

tcpdump -w myfile.pcap -n -nn -i eth0

Jake Feasel · Answer 3 · 29 ноября 2011

Если ваша ЛВС является коммутируемой сетью (большинство из них) или сетевая карта настольного компьютера не поддерживает беспорядочный режим, вы не сможете увидеть ни один из пакетов.Проверьте обе эти вещи.

Нюхание пакетов с использованием tshark

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нюхание пакетов с использованием tshark

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы