AFAIK, la NIC recibe todos los paquetes del cable en una red de área local, pero rechaza aquellos paquetes cuya dirección de destino no es igual a su ip.
Corrección:rechaza aquellos paquetes cuyo destino MAC la dirección no es igual a su dirección MAC (o multidifusión o cualquier dirección adicional en su filtro.
Las utilidades de captura de paquetes pueden poner el dispositivo de red en modo promiscuo, lo que quiere decir que se omite la verificación anterior y el dispositivo acepta todo lo que recibe. De hecho, este suele ser el valor predeterminado:with tcpdump , tienes que especificar el -p opción para no hazlo.
La cuestión más importante es si los paquetes que le interesan se transportan por cable hasta su puerto de detección. Dado que está utilizando un conmutador Ethernet no administrado, es casi seguro que no lo sean. El conmutador decide eliminar los paquetes que no le pertenecen de su puerto antes de que su dispositivo de red pueda verlos.
Debe conectarse a un puerto de monitoreo o duplicación especialmente configurado en un conmutador ethernet administrado para hacer esto.
Al principio, los concentradores de ethernet (no los conmutadores), los paquetes enviados están disponibles para todos los hosts en la subred, pero se supone que los hosts que no son el destinatario previsto deben ignorarlos.
Obviamente, las subredes no tardaron mucho en saturarse, por lo que la tecnología de conmutadores nació para resolver los problemas, y una de las cosas que hicieron fue hacer que el conmutador de red solo enrute los paquetes destinados a ese host a ese puerto (además del tráfico de transmisión de Andy ).
Esto complica el monitoreo/olfateo de la red porque solo puede detectar paquetes que son para su host. Esto se consideró algo bueno desde el punto de vista de la seguridad, pero no tan bueno desde el punto de vista de la supervisión de la red. Para que la supervisión de la red funcione, los proveedores implementan una característica llamada duplicación de puertos. Esto debe configurarse en el conmutador de red, y el siguiente enlace debería indicarle la dirección correcta para los productos D-link. Lo encontrará en algún lugar del software de administración de conmutadores o en la interfaz de administración web. Si no encuentra estas funciones, es posible que la funcionalidad no se proporcione en ese dispositivo específico.
http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring
Primero debe cambiar su NIC al modo promiscuo. Supongamos que su interfaz NIC es eth0.
[email protected]#ifconfig eth0 promesc
Si está en una red de conmutación, su rastreo se reduce al dominio de colisión conectado a su puerto de conmutación. Puedes ejecutar macof para abrumar la tabla de reenvío del conmutador.
[email protected]#macof -i eth0
Entonces puedes usar wireshark o tcpdump para capturar todo el tráfico.
[email protected]#tcpdump -i eth0 -w outputfile
Si no está en una red conmutada, simplemente habilite el modo promiscuo y use tcpdump .