自分のネットワークカードに属していなくても、自分のネットワークカードに入ってくるすべてのパケットをどのようにキャプチャしますか？

AFAIK、NICはLANライン上のすべてのパケットを許可しますが、宛先アドレスがIPと等しくないパケットは拒否します。

修正：その宛先のパケットを拒否します。りんご住所がその住所と同じではありません。MACアドレス（またはそのフィルタのマルチキャストまたは他のアドレス。

パケットキャプチャユーティリティは、ネットワークデバイスを無差別モードに簡単に切り替えることができます。言い換えれば、上記の検査が迂回され、装置が受信するすべてを受け入れる。実際、これは通常デフォルト設定です。を使用する場合は、このオプションをtcpdump指定する必要があります。-pいいえします。

より重要な質問は、関心のあるパケットが有線を介してスニッフィングポートに送信されるかどうかです。管理されていないイーサネットスイッチを使用しているので、ほとんどわかりません。スイッチは、ネットワークデバイスがパケットを見ることを期待し、あなたに属さない前にポートからパケットをドロップすることを決定します。

これを行うには、マネージドイーサネットスイッチ用に特別に設定されたミラーポートまたは監視ポートに接続する必要があります。

スイッチではなく初期イーサネットハブでは、送信されたパケットはサブネット内のすべてのホストで使用できましたが、意図した受信者ではないホストは無視する必要があります。

明らかに、サブネットが飽和するには長い時間がかかりませんでしたので、これらの問題を解決するためにスイッチ技術が生まれました。放送トラフィック））。

ホストに属するパケットのみをスニッフィングできるため、ネットワークの監視/スニッフィングが複雑になります。セキュリティの観点からは、これは良いと見なされますが、ネットワーク監視の観点ではそうではありません。ネットワーク監視を機能させるために、ベンダーはポートミラーリングと呼ばれる機能を実装します。これはネットワークスイッチで設定する必要があり、下のリンクはDリンク製品の正しい方向を示します。スイッチ管理ソフトウェアまたはWeb管理インターフェースのどこかにあります。これらの機能が見つからない場合、特定のデバイスではその機能を使用できない可能性があります。

http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring

まず、ネットワークカードを無差別モードに切り替える必要があります。 NICインターフェイスがeth0であると仮定します。

root@linux#ifconfig eth0 promesc

スイッチネットワーク上にある場合、スニッフィングはスイッチポートに接続された競合ドメインに縮小されます。これを実行して、macofスイッチの転送テーブルを圧倒できます。

root@linux#macof -i eth0

wiresharkその後、またはを使用してすべてのtcpdumpトラフィックをキャプチャできます。

root@linux#tcpdump -i eth0 -w outputfile

スイッチネットワークを使用していない場合は、無差別モードを有効にしてくださいtcpdump。

あなたは車輪を再発明しています。

クライアントがスイッチに接続されており、インターネット用のデフォルトゲートウェイを持つ単純なネットワークがあると仮定すると、そのデフォルトゲートウェイデバイスでのみ監視できます。これにより、ディスプレイLANクライアントとインターネット間のすべてのトラフィックにボトルネックが発生します。

すべてのIPアドレスが同じIPサブネット内にあり、ローカルトラフィックがデフォルトゲートウェイに到達しないため、LANクライアント間のトラフィックは重要ではないと仮定します。

すべてのトラフィックを実際に表示するには、各ユーザーが自分のIPネットワークにいる必要があり、他のネットワークへのトラフィックはデフォルトゲートウェイを通過する必要があります。各人に/ 28を割り当てることができ、14個のIPを持つことができます。

一般的な家庭用ルーターはこれらの多くを処理できないため、専用のファイアウォールディストリビューションを参照する必要があります。個人的には、pfsenseが最初の選択ですが、オプションがたくさんあります。