如何用抓包工具wireshark对交换机其中一端口进行抓包分析

Posted 2023-04-19

可以用PC直连交换机那个口 等方法

1、PC直连交换机那个口

2、将该口镜像到交换机别的口，再PC连接

3、使用集线器

4、Wireshark（前称Ethereal）是一个网络封包分析软件。

5、网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

6、Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

7、网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作，只是将场景移植到网络上，并将电线替换成网络线。

8、在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。

9、Ethereal的出现改变了这一切，在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。

10、Ethereal是全世界最广泛的网络封包分析软件之一。

11、网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题

12、开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识。

参考技术A 用39系列交换机镜像抓包配置方法：
一、3900端口镜像配置
步骤一 ：[Quidway]mirroring-group 1 local
说明：创建端口镜像组
步骤二：[Quidway]mirroring-group 1 monitor-port Ethernet 1/0/22
说明：创建镜像目的端口 22
备注将电脑的网线接在交换机22端口上面
最好我们以后要求交换机的22端口为镜像端口 (定一个规则)
步骤三：
[Quidway]mirroring-group 1 mirroring-port Ethernet 1/0/8 both
[Quidway]mirroring-group 1 mirroring-port Ethernet 1/0/9 both
说明：将网元网口网线所在的交换机端口配置成被镜像端口 这里配置是端口 8和9
打开电脑上wireshark,跟踪网卡即可. 参考技术B 1、PC直连交换机那个口 或者 2、将该口镜像到交换机别的口，再PC连接 或者 3、使用集线器本回答被提问者和网友采纳 参考技术C 使用集线器最简单，注意是集线器，不是交换机

用wireshark抓包，要用HUB还是交换机？两者有啥区别？

我说的是用WIRESHARK抓包的时候，应该用HUB还是交换机？从抓包这个角度来看他俩的区别～谢谢!

首先说HUB,也就是集线器。它的作用可以简单的理解为将一些机器连接起来组成一个局域网。而交换机（又名交换式集线器）作用与集线器大体相同。但是两者在性能上有区别：集线器采用的式共享带宽的工作方式，而交换机是独享带宽。这样在机器很多或数据量很大时，两者将会有比较明显的。而路由器与以上两者有明显区别，它的作用在于连接不同的网段并且找到网络中数据传输最合适的路径 ，可以说一般情况下个人用户需求不大。路由器是产生于交换机之后，就像交换机产生于集线器之后，所以路由器与交换机也有一定联系，并不是完全独立的两种设备。路由器主要克服了交换机不能路由转发数据包的不足。

总的来说，路由器与交换机的主要区别体现在以下几个方面：

（1）工作层次不同

最初的的交换机是工作在OSI／RM开放体系结构的数据链路层，也就是第二层，而路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI的第二层（数据链路层），所以它的工作原理比较简单，而路由器工作在OSI的第三层（网络层），可以得到更多的协议信息，路由器可以做出更加智能的转发决策。

（2）数据转发所依据的对象不同

交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号（即IP地址）来确定数据转发的地址。IP地址是在软件中实现的，描述的是设备所在的网络，有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的，由网卡生产商来分配的，而且已经固化到了网卡中去，一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。

（3）传统的交换机只能分割冲突域，不能分割广播域；而路由器可以分割广播域

由交换机连接的网段仍属于同一个广播域，广播数据包会在交换机连接的所有网段上传播，在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域，广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能，也可以分割广播域，但是各子广播域之间是不能通信交流的，它们之间的交流仍然需要路由器。

（4）路由器提供了防火墙的服务

路由器仅仅转发特定地址的数据包，不传送不支持路由协议的数据包传送和未知目标网络数据包的传送，从而可以防止广播风暴。

交换机一般用于LAN-WAN的连接，交换机归于网桥，是数据链路层的设备，有些交换机也可实现第三层的交换。 路由器用于WAN-WAN之间的连接，可以解决异性网络之间转发分组，作用于网络层。他们只是从一条线路上接受输入分组，然后向另一条线路转发。这两条线路可能分属于不同的网络，并采用不同协议。相比较而言，路由器的功能较交换机要强大，但速度相对也慢，价格昂贵，第三层交换机既有交换机线速转发报文能力，又有路由器良好的控制功能，因此得以广泛应用。

目前个人比较多宽带接入方式就是ADSL，因此笔者就ADSL的接入来简单的说明一下。现在购买的ADSL猫大多具有路由功能（很多的时候厂家在出厂时将路由功能屏蔽了，因为电信安装时大多是不启用路由功能的，启用DHCP。打开ADSL的路由功能），如果个人上网或少数几台通过ADSL本身就可以了，如果电脑比较多你只需要再购买一个或多个集线器或者交换机。考虑到如今集线器与交换机的 价格相差十分小，不是特殊的原因，请购买一个交换机。不必去追求高价，因为如今产品同质化十分严重，我最便宜的交换机现在没有任 何问题。给你一个参考报价，建议你购买一个8口的，以满足扩充需求，一般的价格100元左右。接上交换机，所有电脑再接到交换机上就行了。余下所要做的事情就只有把各个机器的网线插入交换机的接口，将猫的网线插入uplink接口。然后设置路由功能，DHCP等， 就可以共享上网了。

看完以上的解说读者应该对交换机、集线器、路由器有了一些了解，目前的使用主要还是以交换机、路由器的组合使用为主，具体的组合方式可根据具体的网络情况和需求来确定。 参考技术A 当然是hub，因为交换机是直接发送给目标，而hub则是发给链接的每个人 参考技术B 用wireshark抓包应该用HUB。
例如机器A与机器B通信，你想要抓取A与B之间的所有通信报文，应该用HUB连接机器A与机器B，然后在自己的机器上装上wireshark，同时自己的机器也连在HUB上，你就可以抓取报文了。

而交换机固定将A的报文发往B的端口，B的报文发往A的端口，所以你将自己的机器连入交换机是无法获得任何报文的。除非你获得交换机的管理员权限，将A的端口或是B的端口与你自己的机器做一个镜像（mirror）功能，那么你也可以获得他们之间的通信报文。 参考技术C switch上,除了广播,你什么也看不到.
抓包分析需要镜像端口.

hub则是所有数据向所有端口泛洪,所以你就看到了...