怎樣用Sniffer監聽網關數據包

在交換以太網的環境下，通常兩臺工做站之間的通信是不會被第三者偵聽到的。在某些狀況下，咱們可能會須要進行這樣的偵聽，如：協議分析、流量分析、***檢測。爲此咱們能夠設置Cisco交換機的SPAN (Switched Port Analyzer交換端口分析器)特性, 或早期的「端口鏡像」、「監控端口」功能。 偵聽的對象能夠是一個或多個交換機端口，或者整個VLAN。若是要偵聽的端口(「源端口」)或VLAN和鏈接監控工做站的端口(「目標端口」)在同一臺交換機上，咱們只需配置SPAN; 若是不在同一臺交換機上，須要配置RSPAN (Remote SPAN)。不一樣的交換機對SPAN有不一樣的限制，如2900XL交換機中源端口和目標端口必須在同一VLAN、某些交換機不支持RSPAN等等，詳見設備文檔。 在配置SPAN的時候，咱們須要提供的參數是源端口或VLAN號以及目標端口。 4000/6000 CatOS 交換機: set span 6/17 6/19 //SPAN:源端口爲6/17 目標端口爲6/19 2950/3550/4000IOS/6000IOS 交換機： monitor session 1 local //SPAN monitor session 1 source interface fastethernet 0/17 both //源端口，也能夠是某個VLAN monitor session 1 destination interface fastethernet 0/19 //目標端口 2900/3500XL 交換機： interface fastethernet 0/19 //目標端口 port monitor fastethernet 0/17 //源端口 1900 交換機: (或使用菜單 [M] Monitoring) monitor-port monitored 0/17 //源端口(0/17和0/18端口) monitor-port monitored 0/18 monitor-port port 0/19 //目標端口 monitor-port //開始監控 在配置RSPAN的時候，咱們首先要定義一個類型爲RSPAN的VLAN。在普通VLAN上若是源主機和目標主機都在同一臺交換機上，則它們之間的單播通信不須要經過TRUNK傳遞到別的交換機，而RSPAN VLAN須要在TRUNK上轉發這樣的通信，以保證監控機可以偵聽到。在源交換機上，需設置使被偵聽的端口或VLAN把流量轉發到RSPAN VLAN上(若是是運行IOS的交換機，須要另外設置一個端口做爲反射端口); 在目標交換機上，需設置把RSPAN VLAN中的信息轉發到鏈接監控主機的目標端口。 IOS交換機,如3550: 3550(config)#vlan 900 //創建RSPAN VLAN 3550(config-vlan)#remote-span monitor session 1 remote //源交換機 monitor session 1 source interface fastethernet 0/17 both //源端口 monitor session 1 destination remote vlan 900 reflector-port fastethernet 0/20 //目標RSPAN VLAN，反射端口 monitor session 2 remote //目標交換機 monitor session 2 source remote vlan 900 //RSPAN VLAN monitor session 2 destination interface fastethernet 0/19 //目標端口 CatOS 交換機，如6500: set vlan 900 rspan //創建RSPAN VLAN set rspan source 4/1-2 900 //源交換機 set rspan destination 4/19 900 //目標交換機 最近一次配置完RSPAN以後，有用戶反映：部分網段出現嚴重丟包現象。仔細檢查，發現部分交換機的上聯端口負載很重。再分析，原來在兩臺中心交換機上啓用了一個RSPAN進程，RSPAN VLAN上的流量很大，達300M。因爲VTP 域中沒有啓用Pruning 功能，這個RSPAN VLAN的流量出如今全部的TRUNK上，形成了阻塞。把RSPAN VLAN從這些TRUNK上修剪掉以後，網絡恢復了正常。 SPAN功能的出現，使保護交換機不被非法控制變得更爲重要。由於假如***控制了一臺主機和部分交換機，他將可以使用SPAN/RSPAN和Sniffer竊放任何在網絡上傳遞的信息