如何通过镜像抓包

流量镜像在企业网络中是必不可少的。配置简单，但也是重要的知识点。今天用实验简单演示一下。

网络拓扑

如上图所示，想要监控SW2访问SW1的流量（拓扑图中由下向上），需要把SW2去往SW1的流量镜像（复制）一份传至PC1，PC1上分析监控这些流量。

实际场景中，通常是监控重要的服务器是否受到攻击；或者监控用户上互联网的信息（这个...你懂得），再或者你是一个黑客，你攻陷了SW2，把流量镜像到你自己这边，然后分析流量窃取信息……

直接上命令吧，非常简单，基础环境命令不贴了，直接贴做端口镜像的命令：

1.配置观察端口

[R1]observe-port interface Ethernet 0/0/3

上面命令是把复制的流量给到R1的E0/0/3口（拓扑图中是传给了PC1）

2.配置镜像端口

[R1]int Ethernet 0/0/2

[R1-Ethernet0/0/2]mirror to observe-port inbound

上面命令是复制从接口E0/0/2进入的流量。

验证

命令就是这么简单，现在看看效果：

从1.1.1.2去ping和，在PC1上用Wireshark抓包看看：

效果演示

可以看见，在PC1的E0/0/1口抓包，1.1.1.2去往1.1.1.1的Ping和Telnet立刻就出现在抓包结果里。甚至可以看见输入的SW1用户名和密码：

l

j

ds

回车

因telnet是明文传输，所以从捕获的数据包中可以看见输入了“ljds”之后执行了回车（\r\n）。（用户名和密码都是ljds，都能看见，后面就不截图了）

实验完成。

本小编的文章主要以Python，网络通信，linux为主。可以点击我的头像查看以往文章，也许有你感兴趣的内容。