wireshark mostra solo il traffico in entrata

Naviga le tue risposte
1

Utilizzo un hub ethernet DX-EHB4 dynex con due sistemi collegati ad esso, il desktop di destinazione e un altro desktop che esegue il wirehark in modalità promiscua. Ho un filtro sul posto "host x.x.x.x" quindi vedo solo il traffico dell'indirizzo IP di destinazione.

Nella mia acquisizione di pacchetti vedo tutto il traffico in entrata verso il sistema di destinazione, ma non in uscita. Non riesco a capire perché sia così. Tutta la documentazione di wireshark dice che ho il giusto tipo di hub e sono impostato correttamente per vedere tutto il traffico da e verso il sistema di destinazione. Cosa c'è di sbagliato qui?

    
posta linux1 26.09.2012 - 19:00
fonte

1 risposta

1

La ragione più semplice è probabile che il traffico in uscita non stia uscendo da quell'interfaccia. Sei sicuro che ci sia del traffico da catturare?

Hai più di un'interfaccia connessa su questo sistema? In tal caso, è possibile avere un instradamento asincrono, in cui il traffico in entrata e in uscita esce da interfacce separate. Guarda la tua tabella di routing usando netstat -r (dovrebbe funzionare sulla maggior parte dei sistemi operativi) e guarda quale interfaccia è la strada migliore per quell'host. Se il traffico viene instradato, un'altra interfaccia risolve il problema di routing o esegue un'acquisizione di pacchetti su entrambe le interfacce contemporaneamente.

Un'altra possibilità è che stai filtrando il traffico che stai cercando. Assicurati che tutti i filtri di cattura siano disattivati, piuttosto che un'acquisizione. Interrompere l'acquisizione e filtrare i risultati. Prova a utilizzare ip.host == "x.x.x.x" e vedi se hai catturato sia l'entrata che l'uscita.

    
risposta data 26.09.2012 - 19:53
fonte

Leggi altre domande sui tag

Cookie protetti e vincolo della lunghezza del percorso Database di exploit per le vulnerabilità di NVD [chiuso]