浏览网页使用的是 TCP/HTTP 协议,端口为80,假设监控机的IP地址为 192.168.0.2,进入路由主界面->“防火墙”->“端口镜像”,设置如下:
新增规则1:对内网发出去的数据进行监控,源IP不填表示监控内网所有IP
新增规则2:对外网进来的数据进行监控
最后,启用端口镜像即可
如果要监控所有内外网端口则源和目的端口号都不填;如果要监控所有协议,协议类型选“TCP+UDP”即可。
下一步就可以在监控机上面打开抓包软件或分析工具对监听到的流量进行分析了。
下面是用 wireshark 抓取到数据包截图:
为了减少局域网网卡的压力,可以在路由上增加一块网卡,专门用于转发监控的数据。增加网卡后,将这块网卡配置为私有IP地址(不能和局域网网卡IP在同一网段)。比如新增网卡的IP设为192.168.10.1,监控机的IP为 192.168.10.254,然后修改上面的设置,将管理IP从192.168.0.2改为192.168.10.254即可。