AFAIK, karta sieciowa odbiera wszystkie pakiety z drutu w sieci lokalnej, ale odrzuca te pakiety, których adres docelowy nie jest równy jego ip.
Chcę opracować aplikację, która monitoruje korzystanie z Internetu przez użytkowników. Każdy użytkownik ma stały adres IP.
Ja i kilka innych osób jesteśmy podłączeni do 8-portowego niezarządzanego przełącznika pulpitu DES-108 Fast Ethernet
Jak wspomniano wcześniej, chcę przechwytywać wszystkie ruchy od wszystkich użytkowników, a nie tylko te pakiety, które należą do mnie.
Jak powinienem zmusić moją kartę sieciową lub inne komponenty do odbierania wszystkich pakietów?
linux
networking
packet
m.r226
źródło
źródło
Odpowiedzi:
Korekta: odrzuca te pakiety, których docelowy adres MAC nie jest równy jego adresowi MAC (lub multiemisji lub jakimkolwiek dodatkowym adresom w filtrze.
Narzędzia do przechwytywania pakietów mogą w trywialny sposób wprowadzić urządzenie sieciowe w tryb promiscuous, co oznacza, że powyższe sprawdzenie jest pomijane i urządzenie akceptuje wszystko, co otrzymuje. W rzeczywistości jest to zazwyczaj ustawienie domyślne: za pomocą
tcpdump
należy określić-p
opcję, aby tego nie robić.Ważniejszą kwestią jest to, czy pakiety, które Cię interesują, są w ogóle przenoszone przewodem do portu wąchania. Ponieważ używasz niezarządzanego przełącznika Ethernet, prawie na pewno nie są. Przełącznik decyduje się na wycinanie pakietów, które nie należą do ciebie z twojego portu, zanim urządzenie sieciowe będzie mogło je zobaczyć.
Aby to zrobić, musisz podłączyć się do specjalnie skonfigurowanego portu kopii lustrzanej lub monitorowania na zarządzanym przełączniku Ethernet.
źródło
Na początku mówi się o koncentratorach ethernetowych (nie przełącznikach), wysłane pakiety są dostępne dla wszystkich hostów w podsieci, ale hosty, które nie są zamierzonymi adresatami, powinny ignorować.
Oczywiście nasycenie podsieci nie zajęło dużo czasu, więc narodziła się technologia przełączania, aby rozwiązać problemy, a jedną z rzeczy, które zrobili, było przełączenie sieci tylko trasujących pakiety przeznaczone dla tego hosta do tego portu (plus ruch transmisji rozgłoszeniowej ).
To komplikuje monitorowanie sieci / wąchanie, ponieważ możesz wąchać tylko pakiety przeznaczone dla twojego hosta. Z punktu widzenia bezpieczeństwa było to uważane za dobre, ale z punktu widzenia monitorowania sieci nie jest tak dobre. Aby monitorowanie sieci działało, dostawcy wdrażają funkcję o nazwie dublowanie portów. Należy to skonfigurować na przełączniku sieci, a poniższy link powinien wskazywać właściwy kierunek dla produktów D-link. Znajdziesz go gdzieś w oprogramowaniu do zarządzania przełącznikami lub w interfejsie administratora. Jeśli nie znajdziesz tych funkcji, funkcja może nie być zapewniona w tym konkretnym urządzeniu.
http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring
źródło
Najpierw musisz przełączyć NIC na tryb rozwiązły. Załóżmy, że twój interfejs NIC to eth0.
Jeśli jesteś w sieci przełączników, wąchanie zostanie zredukowane do domeny kolizji połączonej z portem przełącznika. Możesz uruchomić,
macof
aby pokonać tabelę przekazywania przełącznika.Następnie możesz użyć
wireshark
lub,tcpdump
aby przechwycić cały ruch.Jeśli nie jesteś w sieci komutowanej, po prostu włącz tryb rozwiązany i użyj go
tcpdump
.źródło
tcpdump
włączy tryb rozwiązany dla Ciebie. Nie musisz tego robić (i pamiętaj, aby go cofnąć po zakończeniu) ręcznie.Wymyślasz koło na nowo.
Zakładając, że masz prostą sieć z klientami łączącymi się z przełącznikami, z domyślną bramą do Internetu, wystarczy monitorować tylko na tej domyślnej bramie. Będzie to punkt dławikowy pokazujący cały ruch między klientem sieci LAN a Internetem.
Zakładam, że ruch LAN między klientem LAN nie jest interesujący, ponieważ przy wszystkich adresach IP w tej samej podsieci IP ruch lokalny nie dotyka bramy domyślnej.
Jeśli naprawdę chcesz zobaczyć cały ruch, każdy użytkownik musi znajdować się we własnej sieci IP, a ruch do innych sieci odbywa się za pośrednictwem domyślnej bramy. Możesz przydzielić / 28 każdej osobie, a ona może mieć 14 adresów IP dla siebie.
Twój przeciętny domowy router nie poradzi sobie z tym zbyt wiele, musisz zbadać dedykowaną dystrybucję zapory ogniowej. Osobiście pfsense będzie moim celem, ale istnieje wiele opcji.
źródło