私は現在tcpdumpを学んでいますが、それを理解することはできません。私が入力したとき:
sudo tcpdump
私のコンピュータから入って来るすべてのトラフィックがあります。自分のネットワークや他のネットワーク(IP指定など)のすべての内容を聞くにはどうすればよいですか?
試してみましたが、sudo tcpdump host xxx.xxx.xxx.xxx
出力はありません。
また、私のウェブサイトに入って来るトラフィックを監視するにはどうすればよいですか?
試してみましたが、sudo tcpdump -n dst host gmail.com
まだ出力がありません。
ありがとうございます!
答え1
通常、ホストは次の受信のみできます。
- 特別に送信されたすべてのトラフィック(ユニキャスト)
- どの放送接続された特定のネットワークセグメント内のトラフィック
- どのマルチキャスト受信したネットワークセグメント内で利用可能なトラフィックを具体的に要求します。
受け取るみんな交通量あなたが所有するネットワークセグメント、tcpdumpingシステムが接続されている特定のスイッチポートにすべてのトラフィックのコピーを送信するように設定できるマネージドネットワークスイッチが必要です。
いくつかの技術的な制限があります。たとえば、ネットワークセグメントの総トラフィックが単一のスイッチポートが処理できるトラフィックを超えると、tcpdumpingシステムは複数のポートを並列に使用しない限りすべてのトラフィックを受信できません(おそらく結合/チーム構成)。構成)。
あるいは、スイッチがどのポートに何が接続されているかを追跡できないように、スイッチMACテーブルスプーフィング攻撃を実行して、すべてをブロードキャストに送信し始めることができます。しかし、それは受動的に聞くだけではなく、積極的な攻撃になるでしょう。
最新のマネージドスイッチにはMACなりすまし防止機能があります。これらのスイッチに MAC スプーフィング攻撃を試みると、ポートが完全にシャットダウンしたり、ネットワーク管理者に警告が発生する可能性があります。つまり、職場でこれを行うと、仕事の損失が非常に早く発生する可能性があります。
すべての交通状況を聞くコンピュータとgmail.comの間しかし、sudo tcpdump -s0 -nvv host gmail.com
gmail.comに入ってくるすべてのトラフィックを受信しようとする努力は役に立ちません。 gmail.comは、世界中に複数のインスタンスを持つ地理的に分散したウェブサイトです。各ユーザーは通常、ネットワーク接続の観点から比較的近いインスタンスに接続されます。
インターネットルーティングプロトコルを攻撃して、世界中の人々が自分のネットワークがgmail.comがある場所であると信じさせることができるとしても(効果的にgmail.comトラフィックをユーザーにもたらします)、トラフィックは自分のネットワーク接続だけでなくネットワークプロバイダーのローカル機器も同様です。