Сниффинг в коммутируемой локальной сети

Есть два способа перехватить трафик в коммутируемой сети, где у вас нет доступа к коммутатору. Первый - подмена ARP, когда вы пытаетесь отвечать на запросы ARP быстрее, чем целевое устройство. Это, очевидно, зависит от вашей способности сделать это, поэтому может быть немного попал. Второе - переполнить таблицы пересылки коммутатора. У каждого коммутатора есть таблица MAC-адресов и портов, по которым поступают кадры, поэтому коммутатор знает, куда отправлять будущие кадры. Если у коммутатора нет MAC-адреса назначения в таблице пересылки, он отправляет его на каждый порт. Если вы можете заполнить таблицу пересылки, у коммутатора нет возможности отправить все кадры на каждый порт, и вы фактически превратили свой коммутатор в концентратор. К сожалению, более дорогие коммутаторы имеют большие таблицы пересылки и могут иметь таблицы переадресации для каждого порта, которые не будут уязвимы для этой атаки.

Вы можете вставить концентратор между вами и вашей целью, если вы можете найти его. Альтернативой может быть использование устройства Linux с двумя сетевыми картами и мостами, настроенными между ними.

Если у вас есть управляемый коммутатор под вашим контролем, как уже упоминали другие, вы можете использовать зеркалирование портов, чтобы получить копию всего на целевом порту (ах).

Быстрое и грязное решение для прослушивания одного устройства состоит в том, чтобы добавить второй сетевой адаптер, подключить отслеживаемое устройство к одному сетевому адаптеру (при необходимости используя перекрестный кабель) и ЛВС к другому, а затем соединить соединения и прослушивать интерфейс моста Так как вы не вклиниваете машину в интенсивный транспортный поток (предположительно), вы ничего не замедляете.

Вы можете сделать это в Windows со встроенной функцией моста и чем-то вроде Wireshark. Linux позволит вам сделать то же самое. Пробег других ОС может варьироваться - я не пробовал нигде, кроме Windows и Linux.

• Используйте ettercap и живите счастливо.

  См. Википедию со списком ARP-совместимых инструментов

• Также можно попробовать атаку MAC Flooding, в зависимости от того, на какой коммутатор вы атакуете. Если коммутатор подвергается такого рода атакам, он будет действовать как HUB после переполнения.

• Конечно, вы можете использовать подход HW (гораздо менее гибкий IMHO), очень недорогой коммутатор, такой как Dell серии 27xx и 28xx, с функцией зеркалирования портов.

Вы можете также рассмотреть возможность создания ответвления Ethernet и использования этого устройства для анализа трафика. Отвод имеет то преимущество, что позволяет анализировать весь трафик, включая неправильно сформированные пакеты Ethernet, которые могут не дублироваться зеркальным портом на коммутаторе. Это немного сложнее:

• http://www.enigmacurry.com/category/diy/ предоставляет хороший учебник для создания крана. С полки краны также можно приобрести.
• http://wiki.wireshark.org/CaptureSetup/Ethernet для инструкций по настройке Wireshark для захвата трафика.

Вам нужны две сетевые карты, чтобы кран работал правильно для полнодуплексных соединений. Однако вы получите достоверное представление о сетевом трафике, проходящем к устройству и от него, что может быть полезно для любой встроенной работы, которую вы выполняете.

5-портовый Ethernet-коммутатор Dualcomm с питанием от USB должен быть лучшим выбором для удовлетворения ваших потребностей, который "настроен на аппаратное обеспечение" с функцией зеркалирования портов. Он также поддерживает сквозную передачу мощности PoE. Доступны модели Fast Ethernet (39,95 долл.) И Gigabit Ethernet (119,95 долл.). Портативный и отлично подходит для многих приложений сниффинг пакетов. Посетите: http://www.dual-comm.com/

У других людей есть лучшие, более технические ответы на этот вопрос, но я отвечу на ваш первый вопрос: я не уверен на 100%, но это скорее хаб (тупой), чем коммутатор (умный хаб).

http://www.amazon.com/Dynex-DX-EHB4-Ethernet-10Base-T-external/dp/tech-data/B000U29M6Q/ref=de_a_smtd

Я уверен, что есть больше, если нет, я бы попробовал eBay. Я знаю, что у меня есть несколько старых центров.