ถามเรื่อง wireshark หน่อยคับ

[tag601]

เวลาผมเปิด wireshark ทำไมเห็นแต่ ip ของตัวเอง ละคับไม่ว่าโปรแกรมดัก packet ตัวไหน
ก็ตามมันก็เห็นเเต่ ip ตัวเองคับ ผมไปตั้งกระทู้ถาม เขาบอกว่าเขาตั้ง port isolate อะไรก็ไม่รู้ อะคับ
ท่านผู้ใดรู้ช่วยไขข้อข้องใจทีคับ

[Gen0TypE]

wireshark เป็น sniffer ครับ เพราะฉะนั้นมันจะดัก packet ที่วิ่งเข้าออกจากเครื่องที่เปิด wireshark ครับ
ที่นี้ ถ้าเราต่อกับ switch packet ที่วิ่งเข้าออกเครื่องเราก็จะมีแต่ packet ที่เป็น ip เราครับ

[pote_te]

Unhidden Content - Enjoy The View!

port isolate เป็นเทคนิคในการคอนฟิกอุปกรณ์เน็ตเวิร์คให้ทำการ clone แพ็กเก็ตที่วิ่งเข้าออกที่พอร์ตต่างๆ ของ switch มาที่พอร์ตที่เรากำหนดไว้ครับ ซึ่งจะเป็นพอร์ตที่ต่อเข้ากับเครื่องที่รันโปรแกรม sniffer ไว้ เทคนิคนี้ยังมีชื่อเรียกอีกหลายชื่อ เช่น port mirroring, port spanning, port monitoring ซึ่งการทำ port isolate นั้นต้องใช้อุปกรณ์เน็ตเวิร์คที่รองรับการเทคนิคนี้ด้วยครับ network switch บางรุ่นไม่สามารถทำได้

[tag601]

ผมต้องติดตั้ง wireshark ที่ตรงไหนอะคับถึงจะสามารถดักจับ packet ทั้งเครือข่ายได้คับ
หรือต้องไปติดตั้งทัี่สวิตหรือคอมของadmin คับ

[Gen0TypE]

ขึ้นอยู่กับ topology ของ network ครับ ถ้าอยู่เห็น packet มากสุด ก็ไปติดตั้งตรงที่ traffic วิ่งผ่านมากที่สุด

[pote_te]

ตามที่คุณ Gen0Type ว่านั้นถูกต้องแล้วครับ แต่ขอเสริมอีกนิดนะครับว่ายังมีเทคนิคที่ช่วยในการทำ sniffer ข้าม switch ได้ด้วย เรียกว่า Remote SPAN หรือ RSPAN (ขอเรียกตาม Cisco นะครับ ไม่แน่ใจว่าของเจ้าอื่นใช้ชื่อเดียวกันหรือไม่) ในส่วนรายละเอียดไม่ขออธิบายเพราะค่อนข้างยาว ลองค้นหาเพิ่มเติมเองนะครับ

มีอีกประเด็นที่อยากแนะนำนะครับ คือ ที่บอกว่าอยากทำการ sniffer ทั้งเครือข่ายนั้น เป็นสิ่งที่ไม่ควรทำนะครับ(ถึงจะทำได้) เพราะการทำ port monitor เท่ากับเป็นการเพิ่มโหลดให้กับอุปกรณ์ไปด้วย ถ้ามีจำนวนแพ็คเก็จวิ่งมากๆ จะทำให้อุปกรณ์ทำงานช้าลงหรือ down ได้เลย การ sniffer นั้นมีเป้าหมายหลักเพื่อให้ผู้ดูแล troubleshoot ในปัญหาในเชิงลึก จึงมักจะทำเฉพาะใน port หรือ vlan ที่มีปัญหาเท่านั้นครับ