实现目标的一种方法是使用arp中毒工具,例如Ettercap.您应该能够Wireshark / tcpdump所需的信息.
您遇到的问题是,以太网交换机的设计使其能够了解每个端口上的MAC地址,并使用它根据MAC地址将以太网帧“路由”到正确的端口.这是为了减少与以太网集线器相关的冲突(这些日子你很少看到).因此,您将只看到发往或来自NIC的以太网帧,包括广播以太网帧,如ARP,但不包括外部流量.这是一件好事:)
大多数托管交换机(不是哑桌面交换机)允许您指定端口镜像,以便在特定端口上复制所有以太网帧,您可以在混合模式下连接机器并使用tcpdump / Wireshark捕获“外部”以太网帧.
但是,这仍然不会被Wireshark / tcpdump捕获.因此,您需要一种方法来充当有趣主机与其网关之间的以太网桥,但不需要物理上在路径中.输入Ettercap,它是一种arp中毒工具.它通过发送“免费arp”来欺骗你感兴趣的主机(和交换机)你的机器MAC地址现在拥有旧IP网关的IP.有趣的机器将无意中将所有网关/默认路由目的地流量发送到您的机器.您的计算机现在将通过其IP堆栈转发数据包,就像它是网关一样.
如果在交换机上启用“端口安全性”时这不起作用,这是一种并不常见的做法.这是为了通过阻止IP从一个以太网端口移动到另一个以太网端口的无偿arps来阻止arp中毒.