Muitas vezes me encontro na posição de ter que farejar uma conexão entre, por exemplo, uma placa de braço que estou desenvolvendo e outro computador na rede ou fora da rede.
A situação fácil é quando consigo instalar um sniffer no computador, conversando com o dispositivo incorporado. Quando não for possível, eu atualmente instalei um antigo HUB de 10Mb / s. No entanto, receio que o meu HUB deixe de funcionar e gostaria de saber algumas alternativas.
Aqui estão as alternativas que eu pude pensar:
Uma solução rápida e suja para farejar um único dispositivo é adicionar uma segunda NIC, conectar o dispositivo a ser detectado em uma NIC (usando um cabo crossover, se necessário) e a LAN em outra, em seguida, conectar as conexões e cheirar a interface da ponte. Já que você não está colocando a máquina em um fluxo de tráfego pesado (presumivelmente), você não vai realmente diminuir a velocidade.
Você pode fazer isso no Windows com a funcionalidade de bridging integrada e algo como o Wireshark. O Linux permitirá que você faça a mesma coisa. A quilometragem de outros sistemas operacionais pode variar - eu não tentei em nenhum outro lugar, exceto no Windows e no Linux.
Existem duas maneiras de farejar o tráfego em uma rede comutada, onde você não tem acesso ao switch. O primeiro é o spoofing ARP, em que você tenta responder a solicitações ARP mais rapidamente do que o dispositivo de destino. Isto é obviamente dependente da sua capacidade de fazer isso, então pode ser um pouco errático. A segunda é transbordar as tabelas de encaminhamento do switch. Cada switch tem uma tabela de endereços MAC e de quais portas são vistos os quadros, de modo que o switch sabe para onde enviar os quadros futuros. Se o switch não tiver o endereço MAC de destino na tabela de encaminhamento, ele será enviado para todas as portas. Se você puder preencher a tabela de encaminhamento, o switch não terá a opção de enviar todos os quadros para todas as portas, e você terá efetivamente transformado o switch em um hub. Infelizmente, os switches mais caros têm tabelas de encaminhamento maiores e podem ter tabelas de encaminhamento por porta, que não estarão vulneráveis a esse ataque.
Você pode inserir um hub entre você e seu destino, se puder encontrar um. Uma alternativa seria usar um dispositivo Linux com duas NICs e fazer uma ponte entre elas.
Se você tiver um switch gerenciado sob seu controle, como outras pessoas mencionaram, é possível usar o espelhamento de porta para obter uma cópia de tudo nas portas de destino.
Use ettercap e viva feliz.
Veja na wikipedia uma lista de ferramentas compatíveis com ARP spoofing
O ataque de inundação do MAC também pode ser tentado, dependendo da opção que você está atacando. Se o switch for exposto a esse tipo de ataque, ele atuará como um HUB quando transbordou.
É claro que você pode usar uma abordagem HW (muito menos flexível, IMHO), um switch muito barato, como as séries Dell 27xx e 28xx, oferecem recurso de espelhamento de porta
Você também pode considerar criar um toque Ethernet e usar esse dispositivo para analisar o tráfego. Um toque tem a vantagem de permitir a análise de todo o tráfego, incluindo pacotes Ethernet mal formados que não podem ser duplicados por uma porta espelhada em um switch. É um pouco mais complicado:
Você precisa de duas placas de rede para que o toque funcione corretamente em conexões full duplex. No entanto, você obterá uma representação real do tráfego de rede passando para e de um dispositivo, o que pode ser útil para qualquer trabalho incorporado que você esteja realizando.
Outras pessoas têm respostas melhores e mais técnicas para essa pergunta, mas para responder à sua primeira pergunta: não tenho 100% de certeza, mas isso parece ser um hub (mudo) em vez de um switch (hub inteligente). / p>
Tenho certeza de que há mais por aí, senão tentaria o eBay. Eu sei que tenho alguns hubs mais antigos por aí.
O switch Ethernet de 5 portas USB da Dualcomm deve ser a melhor opção para atender às suas necessidades, que é "hardwire configurado" com a funcionalidade de espelhamento de portas. Ele também suporta passagem de energia em linha PoE. Ambos os modelos Fast Ethernet (US $ 39,95) e Gigabit Ethernet (US $ 119,95) estão disponíveis. Portátil e ótimo para muitos aplicativos de sniffing de pacotes. Visite: www.dual-comm.com
Tags switch packet-sniffer