能在网桥中做旁路监听吗？

dancingpig

景象有问题的，如果数据流量很大的情况下一个不稳定两边都丢数据包的
你用最简单的做法就是arp欺骗，在交换环境里
还有个办法就是交换机出来接个hub，但是结果也是数据大的时候会有延迟

hppyhjh2

thanks, everyone!

sypdz

bridge和一般的switch都是在二层上...
这样的话除了能抓到广播之类...其他数据应该还是抓不到的...个人看法...
而有了span port，则什么都抓得到了...

dancingpig

偶要指出一点，你的确知道网桥和交换机是工作在哪层上的
但是还有点混淆，工作在第2层并不意味着就无法用其他办法来sniffer了，要监听交换环境不只有端口景象，arp欺骗是不二的方法。因为交换机不考虑3层的packet，所以很容易用这个办法来混淆它。
再提醒下，为了监听一台机器而使用端口景象太。。。奢侈了
这种功能我只有在idc机房看到，一般公司环境没有人会怎么做的
而且景象的最大缺点是，如果你来不及出理结果就是丢包。而且是两边全丢

sypdz

懂了，谢谢dancingpig...

zkheartboy

可以做到阿,用netfilter的网桥hook获取包,再从第三个网口发出去.
不过数据量大的话是有延迟的.