リモートシステムのネットワークトラフィックをキャプチャする方法は？

Question

私はワイヤーシャークを使ってソケットプログラムのパケットを分析していますが、今はLinuxプラットフォームでのみサポートされている監視モードを使用する必要があることがわかったので、他のホストトラフィックのトラフィックを見たいので試してみましたネットワークに転送されたパケットはキャプチャできませんでした。キャプチャされたパケットは0個です。

シナリオ：私は192.168.1間の通信を開始する際

私は50+ホスト（すべては私の場合を除き窓によって供給されている）からなるネットワークを抱えている、私のIPアドレスは、192.168.1.10です。 xxキャプチャされたトラフィックを示します。 しかし私の要件は、ホストi、eから192.168.1.21 b/w 192.168.1.22のトラフィックを監視することです。 192.168.1.10から。

1：私が言及したようにトラフィックをキャプチャすることは可能ですか？

2：可能であれば、ワイヤーシャークはそれのための正しいツールです（または私はdifferntを使用する必要があります）？

3：それができない場合、なぜですか？

Answer 1

あなたはスイッチに接続されていますaffic。それはあなたのMACアドレスに表示されているトラフィックに基づいています。 NOTはあなたのMACアドレス宛てのトラフィックを送信します。すべてのトラフィックを監視する場合は、スイッチを設定して「ポートミラー」を使用し、スニッファをそのポートに接続する必要があります。マシンにインストールできるソフトウェアはなく、ネットワークの切り替え方法を迂回します。

http://en.wikipedia.org/wiki/Port_mirroring

Answer 2

ただ、この独自のフィルタおよびIPを持つビット適応：（ローカルホスト上の）

ssh -l root <REMOTE HOST> tshark -w - not tcp port 22 | wireshark -k -i - 

またはbashを使用して：

wireshark -k -i <(ssh -l root <REMOTE HOST> tshark -w - not tcp port 22) 

必要な場合は、tcpdump代わりのtsharkを使用することができます。

を

ssh -l root <REMOTE HOST> tcpdump -U -s0 -w - -i eth0 'port 22' | 
    wireshark -k -i -