pretty code

2019年11月26日 星期二

Wireshark 重出江湖

第一次使用 Wireshark 應該有 10 年以上了吧,記得最早的名字似乎不是 Wireshark?總之,那是個還買得到純 Hub 的年代,要抓封包並沒有那麼困難,因為 Hub 根本不管 MAC,故不像 Layer 2 Switch 一樣,可以解決碰撞的問題。

最近為了看一個問題,此問題可能是在 device 端,故我需要抓到流經 device 的封包。因為我不是 IT,我也沒有觸碰實體 IT Switch 的權限,最簡單的方式便是接個 Hub,沒想到市面上已經找不到純 Hub,不太可能為了這個去拍賣網站購買舊貨。幸好 Layer 2 網管型 Switch 一般都會有個 mirror port 的功能,可以把想監聽的 port 導出來好方便抓取封包。以前無聊就查過最便宜的機器要多少錢,沒想到只要一千塊就可以搞定,故趁這個機會買台來玩玩。

我購買的機器是 ZYXEL GS1200-5,這應該是市面上最便宜的了吧?只要設定 192.168.1.4 以後的 IP,便可能透過 Web 界面設定 mirror port 的功能。要注意的是由於是 mirror,故 Wireshark 除了 mirror port 的封包,還會抓到 Wireshark 本身電腦的封包,故 Switch 的接法便顯得重要。一開始我 mirror 的是 IT Switch 出來的線,會讓封包更顯得零亂,後來直接 mirror device 那個 port 才方便分析封包。


既然都要抓封包了,便趁這個機會買了本 Wireshark 的書,我是在 Google Play Book 購買的 PDF 電子書,大推這一本《實戰封包分析第三版》,說得非常清楚。我雖然也在 Amazon.cn 買了 2 本簡體書,但翻沒幾頁就看不下去了。

最後終於順利的解決問題了,但這個故事說來話長,有機會再好好分享。

沒有留言: