1 00:00:00,880 --> 00:00:09,040 Rozpiętość lub port włączony i Eliza zwane także Porta mementsing lub port Mont. pociąg to sposób na skonfigurowanie przełącznika 2 00:00:09,280 --> 00:00:17,140 do wykonywania kopii ramek Ethernetowych, które są odbierane na niektórych portach lub niektórych domach. 3 00:00:17,320 --> 00:00:24,100 Można na przykład powiedzieć, że cały ruch przybywający na porcie gigabit do 1 0 1 zostaje skopiowany z 4 00:00:24,100 --> 00:00:26,590 innego portu gigabit 1 0 2. 5 00:00:27,040 --> 00:00:34,020 Można też powiedzieć, że cały ruch, który został odebrany lub wysłany na linii 1, zostanie skopiowany, 6 00:00:34,030 --> 00:00:41,620 jeśli gigabit 1 0 wydaje się naprawdę ważny, gdy chcemy monitorować ruch, który nie jest przeznaczony dla 7 00:00:41,620 --> 00:00:42,700 określonego urządzenia. 8 00:00:42,940 --> 00:00:49,540 Jako przykład możesz mieć analizator sieci lub system wykrywania włamań, który musi monitorować ruch 9 00:00:49,660 --> 00:00:51,820 przechodzący przez twoją sieć. 10 00:00:51,820 --> 00:00:59,800 Możesz skonfigurować przełącznik tak, aby wykonywał kopie ramek z lokalnego portu, lub, jak dowiesz się, później używał 11 00:01:00,220 --> 00:01:07,270 tak zwanego Zdalnego zakresu, w którym kopiujesz ramki z lokalnego przełącznika do zdalnego przełącznika, aby 12 00:01:07,300 --> 00:01:11,110 zdalna stacja monitorowania mogła odbierać ruch drogowy. 13 00:01:11,120 --> 00:01:18,590 W tej typologii nie używam trzech trzech Jeany, a wirusy Cisco nie obsługują 14 00:01:18,590 --> 00:01:19,790 obecnie spamu. 15 00:01:19,790 --> 00:01:28,130 Tak więc używam fizycznych cisco Cisco, które są podłączone do 29 50 fizycznych przełączników Siska, które z 16 00:01:28,130 --> 00:01:32,740 kolei są podłączone do przełączników 37 50 Cisco. 17 00:01:32,800 --> 00:01:39,840 Mam komputer podłączony do przełącznika trzydzieści siedem pięćdziesiąt i działa Wireshark, a użyjemy go 18 00:01:39,850 --> 00:01:42,460 do przechwytywania ruchu z sieci. 19 00:01:42,460 --> 00:01:48,340 Teraz zamierzam zademonstrować za chwilę, że kiedy ruch jest przesyłany z jednego do routera 20 00:01:48,340 --> 00:01:55,480 na drugi, z którego wysyłany jest ruch jednostkowy, taki jak pingi lub Telma, wszystkie wysyłane z jednego 21 00:01:55,480 --> 00:02:03,280 do wędki do ruchu będą wysyłane do pierwszego 21:15, który z kolei zostaną wysłane do pierwszych 30 750, które 22 00:02:03,310 --> 00:02:10,540 z kolei zostaną wysłane do przełącznika 30 7:52 i będą kontynuowane aż do nadejścia ruchu, który doprowadził 23 00:02:11,040 --> 00:02:15,510 go do przechwytywanego komputera, nie będzie widoczny ruch jednostkowy. 24 00:02:15,670 --> 00:02:21,400 Ponieważ po zapełnieniu tablicy adresów MAC pierwszego przełącznika, po prostu zmieni się 25 00:02:21,760 --> 00:02:28,720 ruch z tego interfejsu, na przykład na ten interfejs, aby przekazywać ruch Gerada, aby 26 00:02:28,720 --> 00:02:37,050 ruch był wysyłany tylko z tej strony, jeśli jest wysyłany do nieznanych adresów emisji pojedynczej adresy multicastowe 27 00:02:37,050 --> 00:02:41,810 lub adresy rozgłoszeniowe lub specjalnie wysłane do urządzenia przechwytującego. 28 00:02:41,880 --> 00:02:48,510 W związku z tym urządzenie przechwytujące nie będzie miało widoczności ruchu wysyłanego z Roddy, aby można go było wysunąć 29 00:02:48,510 --> 00:02:53,680 do szczeliny, co umożliwi nam monitorowanie portu lub portu na przełączniku trzydzieści siedem pięćdziesiąt. 30 00:02:53,970 --> 00:02:59,880 Dlatego po pierwsze pokaż, że ruch wychodzący z Radia 1 do Ratatouille nie jest odbierany przez 31 00:02:59,880 --> 00:03:00,810 przechwytujący komputer. 32 00:03:01,050 --> 00:03:08,390 Następnie skonfigurujemy rozpiętość przełącznika, aby komputer był w stanie przechwycić ruch za pomocą Y shock. 33 00:03:08,820 --> 00:03:20,840 Konsola trzydziestu siedmiu pięćdziesięciu przełączników pokazuje tabelę adresów MAC Niektóre adresy mac wszystkie wymienione w tabeli, co teraz 34 00:03:24,220 --> 00:03:37,180 zrobię, to ping od trasy 1 do Roddy, aby pokazać skrót interfejsu IP Ratto ma adres IP i router 35 00:03:37,690 --> 00:03:46,430 ma taki sam adres Adres IP, który możemy zobaczyć na konsoli rocket. 36 00:03:46,530 --> 00:03:48,420 Tak więc istnieje adres 37 00:03:51,640 --> 00:03:54,770 IP rocketiego Roddy, który jest znowu w stanie napisać. 38 00:03:55,090 --> 00:04:02,730 Kiedy więc spojrzymy na tablicę adresów MAC, które poprzednio mieliśmy tylko te trzy adresy MAC 39 00:04:02,730 --> 00:04:03,950 w tabeli. 40 00:04:04,140 --> 00:04:10,750 Ale teraz zauważ, że mamy ten adres MAC, a także adres MAC w tabeli. 41 00:04:11,040 --> 00:04:17,700 Skonfigurowałem adres MAC programu Rotto w następujący sposób. 42 00:04:17,700 --> 00:04:24,630 Używam adresu MAC kodu Cisco Venda i dla uproszczenia Podałem adres MAC routera 43 00:04:24,630 --> 00:04:26,670 w następujący sposób. 44 00:04:27,410 --> 00:04:29,430 W drodze do zrobiłem coś podobnego. 45 00:04:29,630 --> 00:04:36,720 Więc adres MAC to zero kodu Cisco Venda i dwa. 46 00:04:36,740 --> 00:04:43,940 Tak więc w tym momencie pierwszy przełącznik o wartości trzydziestu siedmiu pięćdziesięciu dowiedział się o adresach MAC Radu 47 00:04:44,000 --> 00:04:52,230 1 i rodef dwa, aby wszystko było proste Nie skonfigurowałem żadnych wille dla wszystkich urządzeń na terenie willi, które pozwolilibyśmy na 48 00:04:52,230 --> 00:04:53,420 przechwytywanie ruchu. 49 00:04:53,490 --> 00:04:57,800 Po co szokować na naszym komputerze. 50 00:04:58,050 --> 00:05:02,410 Więc obecnie otrzymuje trochę ruchu. 51 00:05:02,530 --> 00:05:14,540 Ale zróbmy polecenie ping od routera do Roddy i jeszcze raz filtrujmy ruch ICMP na wyjściu. 52 00:05:14,550 --> 00:05:24,110 Tutaj widać, że komputer nie otrzymuje żadnego ruchu ICMP z routera 1 do routera i 53 00:05:24,110 --> 00:05:33,950 tak samo, jeśli dwa sygnały Rodda to taki, na którym nie ma ruchu ICMP na przechwytywanym komputerze. 54 00:05:34,110 --> 00:05:42,490 Ale jeśli jeden pinguje komputer z systemem Windows, który ma adres IP równy 10. 0 jeden, że jeden do potrójnego zauważyć, 55 00:05:46,170 --> 00:05:49,410 że widzimy pakiety ICMP. 56 00:05:49,470 --> 00:05:59,730 Dlaczego więc szok jest w stanie uchwycić ruch z 10 1 na jednym przejściu do 10 1 1 2 2 2, 57 00:05:59,730 --> 00:06:06,840 więc kawałek nie jest w stanie wychwycić pojedynczego ruchu wysyłanego z Roddy do trasy. 58 00:06:06,850 --> 00:06:11,690 TE Co z ruchem multiemisji. 59 00:06:11,940 --> 00:06:20,650 W tym przykładzie widać, że ruch ICMP został odebrany do adresu multiemisji, tak więc 60 00:06:20,650 --> 00:06:27,140 ten z adresem IP 10. Zastanawiam się, zastanawia się, że jeden wysyła ruch do 61 00:06:27,140 --> 00:06:30,360 adresu multiemisji 2:39 zastanawiał się zastanawia jeden. 62 00:06:30,570 --> 00:06:36,140 Jako przykład można podać, że źródłowy adres MAC docelowego adresu MAC routera to 0 1 63 00:06:36,140 --> 00:06:41,450 0 0 0 5, który jest adresem MAC multiemisji w wersji IP 4. 64 00:06:41,820 --> 00:06:43,980 Jak możesz zobaczyć tam. 65 00:06:44,490 --> 00:06:48,100 Co powiesz na transmisję płacącą 10 USD za osobę. 66 00:06:48,130 --> 00:06:49,680 The. 67 00:06:50,190 --> 00:06:55,340 Powtórzę to raz, jak możesz zobaczyć tutaj. 68 00:06:55,480 --> 00:07:00,050 Nadawany ruch jest odbierany przez komputer. 69 00:07:00,190 --> 00:07:08,460 Innymi słowy, ruch jednostkowy przeniesiony z jednego do urządzenia przechwytującego jest przenoszony z tego portu i jest 70 00:07:10,680 --> 00:07:12,650 oparty na adresie mac. 71 00:07:15,350 --> 00:07:21,910 Pokazane tutaj, jak się nauczyło przełącznik 750 na komputerze, zmieniły adres 72 00:07:26,520 --> 00:07:28,030 MAC w 73 00:07:31,170 --> 00:07:32,880 systemie Windows na 74 00:07:36,040 --> 00:07:41,030 kilka zer i 1, więc adres MAC to 75 00:07:44,120 --> 00:07:54,750 11 zer, a następnie jeden, który został odczytany przez przełącznik szybkiego Ethernetu 1 0 5 jak pokazano tutaj. 76 00:07:54,980 --> 00:08:03,820 Tak więc ruch emisji pojedynczej jest przekazywany do komputera, a ruch multiemisji jest przekazywany do komputera, a to dlatego, że adresy MAC rozsyłania 77 00:08:03,850 --> 00:08:10,000 grupowego nie są dodawane do tabeli adresów MAC w taki sam sposób, w jaki emitowany 78 00:08:10,000 --> 00:08:12,070 jest unikalny koszt adresów MAC. 79 00:08:12,070 --> 00:08:15,330 Ruch jest również przekazywany do komputera. 80 00:08:15,550 --> 00:08:16,450 Tak 81 00:08:20,720 --> 00:08:28,710 więc, podsumowując, odpowiem na pytanie, dlaczego ruch wychodzący Shaw 82 00:08:28,710 --> 00:08:38,890 captcha wysyłany z jednego do wędki 2 nie jest odbierany przez urządzenie przechwytujące. 83 00:08:38,970 --> 00:08:45,180 Jeśli chcemy uchwycić ruch z Rodda jeden, aby napisać dwa dla rozwiązywania problemów jako 84 00:08:45,180 --> 00:08:53,260 przykład, musielibyśmy włączyć spanne na tym porcie lub Merlene, aby użyć innego terminu, tak aby ruch wysyłany i odbierany 85 00:08:53,260 --> 00:09:00,370 na tym porcie lub porcie na ziemi jeden w przykład został przeniesiony z tego portu, aby urządzenie 86 00:09:00,370 --> 00:09:03,820 przechwytujące mogło zobaczyć ruch jako inny przykład. 87 00:09:03,820 --> 00:09:12,520 Jeśli telegrafujemy od jednego do Ratatouille'a i zalogujemy się, urządzenie przechwytujące nie widzi ruchu telnetu, więc 88 00:09:12,520 --> 00:09:18,870 nie możemy zobaczyć, że sesja została napisana przez kogoś innego. 89 00:09:19,060 --> 00:09:22,160 A to dlatego, że przełącznik robi to, co powinien. 90 00:09:22,300 --> 00:09:28,750 Przekierowuje ruch z tego interfejsu do tego interfejsu i nie wysyła go z 91 00:09:28,750 --> 00:09:29,860 niepotrzebnych portów. 92 00:09:29,860 --> 00:09:34,770 Zatem konfiguracja wiedzy obejmuje tak, że urządzenie przechwytujące może zobaczyć ruch emisji pojedynczej.