多情形下Wireshark的部署（学习笔记）

〇、大纲

1、远程数据包捕获
2、集线器环境下数据包捕获
3、交换机环境下数据包捕获
4、本地流量的捕获
5、虚拟机流量的捕获

一、远程数据包捕获

情形：需要异地管理分析服务器流量，有服务器控制权。

方案：使用WinPcap下的Rpcap运行在目标服务器上，向远程控制机传回流量。

服务器IP地址：

现在使用远程控制机的wireshark来捕获：

二、集线器环境

情景：略
方案：Wireshark打开默认使用的混杂模式即可，操作略。

三、交换机环境下

情景1：有交换机控制权，在实体机旁

方案1：端口镜像

方案2：网络分路器
略。

情景2：无交换机控制权

方案：ARP欺骗





对PC1进行ARP毒化

此后PC1的流量将流经PC3

四、本地流量的捕获

使用RawCap捕捉环回流量，再使用wireshark分析。

五、虚拟机流量的捕获

直接选择虚拟网卡即可。