farejando uma LAN comutada

4

Muitas vezes me encontro na posição de ter que farejar uma conexão entre, por exemplo, uma placa de braço que estou desenvolvendo e outro computador na rede ou fora da rede.

A situação fácil é quando consigo instalar um sniffer no computador, conversando com o dispositivo incorporado. Quando não for possível, eu atualmente instalei um antigo HUB de 10Mb / s. No entanto, receio que o meu HUB deixe de funcionar e gostaria de saber algumas alternativas.

Aqui estão as alternativas que eu pude pensar:

  • Compre outro HUB. Isso ainda é possível?
  • Tenha algum tipo de ponte de detecção de ethernet, como o que eles fazem para o USB. Eu tenho medo que esse tipo de dispositivo seja caro.
  • use o envenenamento por ARP.
por shodanex 09.10.2009 / 10:57

7 respostas

10

Switches mais caros oferecerão espelhamento de porta, onde espelharão o tráfego de uma ou mais portas para uma porta de monitor dedicada para (entre outros) problemas como o seu.

Mas não tenho certeza de que recursos de classe de preço como esse são oferecidos.

    
por 09.10.2009 / 11:05
3

Uma solução rápida e suja para farejar um único dispositivo é adicionar uma segunda NIC, conectar o dispositivo a ser detectado em uma NIC (usando um cabo crossover, se necessário) e a LAN em outra, em seguida, conectar as conexões e cheirar a interface da ponte. Já que você não está colocando a máquina em um fluxo de tráfego pesado (presumivelmente), você não vai realmente diminuir a velocidade.

Você pode fazer isso no Windows com a funcionalidade de bridging integrada e algo como o Wireshark. O Linux permitirá que você faça a mesma coisa. A quilometragem de outros sistemas operacionais pode variar - eu não tentei em nenhum outro lugar, exceto no Windows e no Linux.

    
por 09.10.2009 / 11:31
3

Existem duas maneiras de farejar o tráfego em uma rede comutada, onde você não tem acesso ao switch. O primeiro é o spoofing ARP, em que você tenta responder a solicitações ARP mais rapidamente do que o dispositivo de destino. Isto é obviamente dependente da sua capacidade de fazer isso, então pode ser um pouco errático. A segunda é transbordar as tabelas de encaminhamento do switch. Cada switch tem uma tabela de endereços MAC e de quais portas são vistos os quadros, de modo que o switch sabe para onde enviar os quadros futuros. Se o switch não tiver o endereço MAC de destino na tabela de encaminhamento, ele será enviado para todas as portas. Se você puder preencher a tabela de encaminhamento, o switch não terá a opção de enviar todos os quadros para todas as portas, e você terá efetivamente transformado o switch em um hub. Infelizmente, os switches mais caros têm tabelas de encaminhamento maiores e podem ter tabelas de encaminhamento por porta, que não estarão vulneráveis a esse ataque.

Você pode inserir um hub entre você e seu destino, se puder encontrar um. Uma alternativa seria usar um dispositivo Linux com duas NICs e fazer uma ponte entre elas.

Se você tiver um switch gerenciado sob seu controle, como outras pessoas mencionaram, é possível usar o espelhamento de porta para obter uma cópia de tudo nas portas de destino.

    
por 09.10.2009 / 12:07
3
  • Use ettercap e viva feliz.

    Veja na wikipedia uma lista de ferramentas compatíveis com ARP spoofing

  • O ataque de inundação do MAC também pode ser tentado, dependendo da opção que você está atacando. Se o switch for exposto a esse tipo de ataque, ele atuará como um HUB quando transbordou.

  • É claro que você pode usar uma abordagem HW (muito menos flexível, IMHO), um switch muito barato, como as séries Dell 27xx e 28xx, oferecem recurso de espelhamento de porta

por 09.10.2009 / 10:59
2

Você também pode considerar criar um toque Ethernet e usar esse dispositivo para analisar o tráfego. Um toque tem a vantagem de permitir a análise de todo o tráfego, incluindo pacotes Ethernet mal formados que não podem ser duplicados por uma porta espelhada em um switch. É um pouco mais complicado:

  • O link fornece um bom tutorial para criar um toque. As torneiras fora da prateleira também podem ser adquiridas.
  • link para instruções sobre como configurar o Wireshark para capturar tráfego.

Você precisa de duas placas de rede para que o toque funcione corretamente em conexões full duplex. No entanto, você obterá uma representação real do tráfego de rede passando para e de um dispositivo, o que pode ser útil para qualquer trabalho incorporado que você esteja realizando.

    
por 12.02.2010 / 16:13
1

Outras pessoas têm respostas melhores e mais técnicas para essa pergunta, mas para responder à sua primeira pergunta: não tenho 100% de certeza, mas isso parece ser um hub (mudo) em vez de um switch (hub inteligente). / p>

link

Tenho certeza de que há mais por aí, senão tentaria o eBay. Eu sei que tenho alguns hubs mais antigos por aí.

    
por 12.02.2010 / 16:58
1

O switch Ethernet de 5 portas USB da Dualcomm deve ser a melhor opção para atender às suas necessidades, que é "hardwire configurado" com a funcionalidade de espelhamento de portas. Ele também suporta passagem de energia em linha PoE. Ambos os modelos Fast Ethernet (US $ 39,95) e Gigabit Ethernet (US $ 119,95) estão disponíveis. Portátil e ótimo para muitos aplicativos de sniffing de pacotes. Visite: www.dual-comm.com

    
por 28.03.2010 / 00:49