NetBuddy.Org论坛 - 如何使用Sniffer来抓获进入6509的包？


	欢迎访客 ( 登陆 \| 注册 )

NetBuddy.Org论坛 ->技术论坛 ->网络世界

如何使用Sniffer来抓获进入6509的包？

« 上一篇主题 | 下一篇主题 »

跟踪主题 | 邮寄主题 | 打印主题

post

1. 如何使用Sniffer来抓获进入6509的包？

HP : 0 / 376

MP : 98 / 4480

EXP : 6%

名动江湖

成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13

请问大家一般都是用什么抓包工具？如果使用Sniffer的话，那我如何使用Sniffer来抓获进入6509的包？或者说只抓某个Vlan上的包？谢谢！

发表于2006/03/22, 09:02

happydj

2. Re:如何使用Sniffer来抓获进入6509的包？

HP : 103 / 1033

MP : 956 / 16153

EXP : 33%

名动江湖

成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4

端口镜像

发表于2006/03/22, 09:29

阿布虎

3. Re:如何使用Sniffer来抓获进入6509的包？

HP : 0 / 576

MP : 234 / 8173

EXP : 7%

我灌故我在

成员等级: 24
发表总数: 703
金币总数: 188
所属组别: 高级成员
注册日期: 2004/03/5

port mirror?

窈窕淑女
君子好逑
凑个热闹
说错表怪

发表于2006/03/22, 14:58

post

4. RE: 如何使用Sniffer来抓获进入6509的包？

HP : 0 / 376

MP : 98 / 4480

EXP : 6%

名动江湖

成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13

QUOTE

端口镜像

可否稍微详细一点，或者给个例子？谢了！

发表于2006/03/23, 09:24

happydj

5. RE: 如何使用Sniffer来抓获进入6509的包？

HP : 103 / 1033

MP : 956 / 16153

EXP : 33%

名动江湖

成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4

QUOTE

端口镜像

可否稍微详细一点，或者给个例子？谢了！

端口镜像

常用品牌交换机端口镜像（Port Mirroring）配置

已经提供了关键词，搜索一下就可以的。

发表于2006/03/23, 09:27

post

6. RE: 如何使用Sniffer来抓获进入6509的包？

HP : 0 / 376

MP : 98 / 4480

EXP : 6%

名动江湖

成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13

QUOTE

端口镜像

可否稍微详细一点，或者给个例子？谢了！

端口镜像

常用品牌交换机端口镜像（Port Mirroring）配置

已经提供了关键词，搜索一下就可以的。

看来想偷懒还是不行的，呵呵。谢谢老兄哦。

发表于2006/03/23, 12:06

post

7. Re: RE: 如何使用Sniffer来抓获进入6509的包？

HP : 0 / 376

MP : 98 / 4480

EXP : 6%

名动江湖

成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13

我看了一下端口镜像的文档，有点理解了。

但是，假如说我用fa0/1来监听fa0/2-fa0/10这些端口的话，我如何使用sniffer来获取这些监听的包呢？

我打开了sniffer，发现里面好像并没有对某一个接口进行监听的设置啊？如果说接口有设置IP地址，那么我还可以对这个IP地址进行监听，可是如果是二层的端口那不就没有办法了吗？

请问如何进行详细的设置呢？谢谢！

发表于2006/03/23, 13:13

post

8. Re: Re: RE: 如何使用Sniffer来抓获进入6509的包？

HP : 0 / 376

MP : 98 / 4480

EXP : 6%

名动江湖

成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13

再顶一下。

是不是说，如果我用Fa0/1监听其它的端口，那我只要把安装Sniffer的机器连接到这个Fa0/1端口，然后就可以直接进行捕获了呢？

发表于2006/03/23, 16:26

lekong

9. RE: 如何使用Sniffer来抓获进入6509的包？

HP : 0 / 129

MP : 18 / 1582

EXP : 19%

拜师学艺

成员等级: 6
发表总数: 54
金币总数: 66
所属组别: 普通成员
注册日期: 2004/11/8

QUOTE

再顶一下。

是不是说，如果我用Fa0/1监听其它的端口，那我只要把安装Sniffer的机器连接到这个Fa0/1端口，然后就可以直接进行捕获了呢？

对啊，就是把sniffer的pc接在F0/1的端口上直接进行捕获啊。在配置端口镜像的时候，可以选上多个源端口的。

可以参考楼上happydj大哥给出的连接里的例子：

2、Catalyst 4000/5000/6000系列交换机端口监听配置(基于IOS)
以下命令配置端口监听：
set span
例如，模块6中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端口1和3、4、5，

set span 6/1,6/3-5 6/2

Lekong Wen！

I HOPE EVERYTHING GOES WELL！！！努力！努力！

发表于2006/03/23, 22:08

happydj

10. RE: 如何使用Sniffer来抓获进入6509的包？

HP : 103 / 1033

MP : 956 / 16153

EXP : 33%

名动江湖

成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4

QUOTE

2、Catalyst 4000/5000/6000系列交换机端口监听配置(基于IOS)
以下命令配置端口监听：
set span
例如，模块6中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端口1和3、4、5，

set span 6/1,6/3-5 6/2

第2条似乎不对，应该是基于CatOS的set命令，不是基于IOS的命令。

朋友们有没使用过WildPackets公司的产品，比如EtherPeek NX或者OmniPeek？

发表于2006/03/24, 09:05

post

11. Re: RE: 如何使用Sniffer来抓获进入6509的包？

HP : 0 / 376

MP : 98 / 4480

EXP : 6%

名动江湖

成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13

大家看一下下面的第一个图示，那个Bridge_Group_addr是做什么的，那些源地址和目的地址都为零的包又是什么意思啊，说明什么吗？

另外，从第二个图示上，我想问一下，那Layer下面的Session、Connection、Station(3)、DLC(35)、Global(2)呀之类的到底要看哪个呢？如果我想查看捕获的包中是否存在病毒发的包，比如说攻击MS-SQL的病毒包，具体要看哪儿呢？还有那个Diagnoses、Symptoms、Objects又分别是什么意思，有什么用处呢？我看了Sniffer的使用说明，好像上面没有细说啊，请好心人帮忙！

附带图片