通常有四種方式可以在一個交換式網絡中捕獲流量,我分別介紹這四種方式,它們分別是端口鏡像,集線器接出,使用網絡分流器,ARP緩存污染
等等,什麼叫捕獲流量???這是網絡嗅探中的一個概念,我個人理解就是你用你的電腦,可以通過交換機或者集線器,看到你女同事電腦上接收和發送的數據包
1.端口鏡像
端口鏡像是交換式網絡中捕獲一個目標設備所有網絡通信的最簡單的方法,翻譯成白話文就是端口鏡像就是在一個局域網中,捕獲別人電腦上接收和發送數據包的最簡單的方法,爲了使用端口鏡像,你必須能夠通過命令行或者web管理界面來訪問你局域網的交換機,並且,該交換機必須支持端口鏡像這個功能,並且,還有一個空閒端口,方便你的嗅探器連接這個端口
要啓用端口鏡像,你需要發出一個命令,來強制交換機將一個端口(假設是端口B)上的所有通信,都額外複製一份到另一個端口(假設是端口A)上,然後你的嗅探器連接到A端口上,這樣,B電腦的所有通信,都可以被嗅探到,設置端口鏡像的具體方法,取決於不同的交換機廠商,需要我們閱讀交換機說明書
啓用端口鏡像的時候,還需要注意流量,假設交換機有100個端口,我把99個全雙工端口,都鏡像到1個端口上,那麼這一個端口上的物理承受能力應該是扛不住這麼多流量衝擊的,這會導致數據報丟失,如果數據包丟失,那麼嗅探的準確性也就降低了,得不償失
在有持續網絡流量安全監控需求的常經理,端口鏡像雖然簡單,但是很不穩定,所以,一會我會介紹分流器
2.集線器接出
這個方式,因爲集線器很少見了,並且這個方式,當我第一次見到這個方式的時候,心中第一反應就是:“這種方式也叫方式???”,那麼這種方式是什麼呢,我大概闡述一下吧
(1)找到目標設備所連接的交換機,並將目標設備的網線從交換機上拔掉
(2)將目標設備插到我自己的集線器上
(3)將我的嗅探器插到我自己的集線器上
(4)將我自己的集線器插到交換機上
此處一萬隻動物
3.分流器
分流器也是個硬件設備,分兩種,一種是聚集的,一種是非聚集的,不想過多介紹了,網上很多
4.ARP緩存污染
文章未完待續…