Como aparentemente você tem acesso físico à conexão de rede, a inserção de um hub Ethernet é provavelmente a solução mais simples. Em vez de inserir o computador B entre A e R , instale o hub e também conecte B ao hub. Execute o Wireshark em B para capturar o tráfego de rede.
Se você ainda não tem um hub Ethernet, então você deve estar ciente das armadilhas de tentar adquirir um. Você não pode usar um switch para esta tarefa, e alguns "hubs" são realmente switches! Informações úteis sobre hubs Ethernet são aqui .
The computer B should be able to log everything that is passing through him.
O Wireshark certamente será capaz de capturar / registrar todos os pacotes de rede transmitidos pelo computador A e pelo roteador R . O Wireshark irá configurar a porta especificada para o modo promíscuo, para que o hardware não filtre nenhum quadro Ethernet recebido.
Computer A and Router R shouldn't be aware of what's hapening (they should both think they are directly connected).
O único indício de que existe um hub em vez de um switch na rede é que os links são forçados a operar em half duplex em vez de full duplex . O efeito líquido é que a latência pode ser um pouco maior e a taxa de transferência será reduzida. Mas essas mesmas condições também poderiam ser causadas pelo aumento do tráfego de rede (ou pelo esquema proposto de inserir o computador B ), portanto, um usuário teria que ser astuto para detectar a presença do hub (supondo que não seja visível) ).
Any idea on the network configuration i should use ?
Minha preferência ao usar Wireshark é usar uma porta Ethernet secundária do computador, uma segunda NIC ou um adaptador USB para Ethernet. Este esquema permite que a configuração da "porta sniffing" seja personalizada sem interromper a configuração da (outra) porta para atividade de rede "normal" (por exemplo, atribuição de endereço IP por DHCP e acesso à Internet). É claro que essa "porta sniffing" deve receber um endereço IP estático (exclusivo) na mesma sub-rede que o computador A .
Esse sniffing PC funcionaria de forma otimizada em um sistema operacional Linux. As máquinas Windows tendem a ignorar máquinas não-Windows na rede. O Linux também tem o comando ethtool para desativar a transmissão para o "parâmetro pause" e "checksumming", mas eu nunca usei essas opções e não sei se elas ajudariam a tornar esse PC menos detectável.
Se você usa um sistema operacional Windows no computador sniffer, lembre-se de desinstalar todos protocolos (por exemplo, Client for Microsoft Networks
, File and Printer Sharing for Microsoft Neworks
, Link-Layer Topology Discovery ...
) exceto Internet Protocol Version 4
sob Propriedades de conexão de área local para o dispositivo Ethernet do farejador.