Hallo, ich muss Netzwerkverkehr einer Ethernet-Leitung analysieren (TCP, UDP, Fehlersuche). Kennt jemand ein bezahlbares, einfaches Gerät für diesen Zweck? Oder könnte ich einen PC mit zwei Netzwerkschnittstellen dafür missbrauchen?
PC, zwei Netzwerkschnittstellen, Linux (Windows geht auch, ist mehr Gefrickel), Bridge einrichten, Wireshark, fertig.
D. V. schrieb: > Wireshark tut es nicht? Nimmt das auch wirklich ALLES auf, oder lässt es die NSA-Backdoors außer Acht?
D. V. schrieb: > Wireshark tut es nicht? Nur wenn er einen Ethernet-HUB verwendet und am letzten Übergabepunkt dort anklemmt. Eventuell müsste er einen Switch nehmen der ein Monitoring-Port hat und dort mit WireShark sniffen!
Martin Schwaikert schrieb: > D. V. schrieb: >> Wireshark tut es nicht? > > Nimmt das auch wirklich ALLES auf, oder lässt es die NSA-Backdoors außer > Acht? WireShark ist verpflichtet NSA-Backdoors auszublenden...
@Shark Bist Du es, Wire? Gib uns doch mal etwas mehr Details! Baust du mit dem PC auch die Verbindung zu deinen Gerät auf, oder willst du mitlauschen, wie sich 2 oder mehr Geräte auf dem Ethernet unterhalten?
Hallo und danke für die schnellen Antworten! :-) Ingo P. schrieb: > Baust du mit dem PC auch die Verbindung zu deinen Gerät auf, > oder willst du mitlauschen, wie sich 2 oder mehr Geräte > auf dem Ethernet unterhalten? Ich will nur sniffen, ich habe auf die beiden Endgeräte keinen Zugriff. Zwischen den Geräten passiert der Verbindungsaufbau in beide Richtungen (TCP), und manche Pakete werden möglicherweise per UDP verschickt. Ich bin darauf angewiesen, den Traffic von einem unabhängigen Gerät aus zu beobachten, welches ich in eine bestehende Kabelverbindung reinhänge. Deswegen suche ich ein Fertiggerät oder eine konkrete Anleitung, wie ich einen PC als unabhängigen Sniffer ausrüsten kann.
Hmm.. schrieb: > D. V. schrieb: >> Wireshark tut es nicht? > > Nur wenn er einen Ethernet-HUB verwendet und am letzten Übergabepunkt > dort anklemmt. Eventuell müsste er einen Switch nehmen der ein > Monitoring-Port hat und dort mit WireShark sniffen! Oder eben ein PC mit zwei Interfaces und einer korrekt(!) eingerichteten Brücke. Das ist dann quasi ein Inline-Monitoring-Port.
...und richtige Bridge heißt: Ethernet Bridge: http://linuxwiki.de/EthernetBridge Da werden dann alle Ethernet-Frames weitegeleitet, wie es ein echter Switch tun würde, nur eben in Software. Und Wireshark hört alles mit ... :)
Bei mir stürzt die aktuelle wireshark - Version andauernd ab (auf XP). Die älteren (ca. 2012) sind stabiler gewesen. PC mit 2 Netzwerkkarten zwischenhängen funktioniert. Man muß einen tunnel anlegen (ggf. etwas Setup-Gefrickel).
Netzwerkanwendungen auf XP? Naja, wenn es sein muß. Einfach einen Stick mit Linux booten, dann sollte das auch stabiler laufen.
Helge A. schrieb: > Bei mir stürzt die aktuelle wireshark - Version andauernd ab (auf XP). > Die älteren (ca. 2012) sind stabiler gewesen. Per RDP auf der Kiste ? Dann kann ich es nachvollziehen.
shark schrieb: > Ich bin darauf angewiesen, den Traffic von einem unabhängigen Gerät aus > zu beobachten, welches ich in eine bestehende Kabelverbindung reinhänge. > > Deswegen suche ich ein Fertiggerät oder eine konkrete Anleitung, wie ich > einen PC als unabhängigen Sniffer ausrüsten kann. Wenn es kein Gigabit sein muss, dann such mal nach "passive ethernet tap". Sowas hier in etwa: http://greatscottgadgets.com/throwingstar/
shark schrieb: > Hallo, ich muss Netzwerkverkehr einer Ethernet-Leitung analysieren (TCP, > UDP, Fehlersuche). > Kennt jemand ein bezahlbares, einfaches Gerät für diesen Zweck? Ein normaler Switch lernt die MAC-Adressen der an seinen Ports angeschlossenen Geräte und filtert dann den Netzverkehr. Das Zauberwort um alle Pakete zu empfangen heisst port mirroring. Ich benutze dafür GS108E (http://www.heise.de/preisvergleich/netgear-prosafe-plus-gs108e-a673085.html). Siehe auch https://www.youtube.com/watch?v=kCSRgbEMkWs. Und dann an den Mirror-Port einen PC mit Wireshark, Windows oder Linux ist egal. LG, Sebastian
:
Bearbeitet durch User
Oder einen Hub ohne Switch Funktion dann kann man doch auch alles Mitsniffen. Ich hätte mal eine Firewall Look n Stop die konnte alle Pakete anzeigen.
Bei Dualspeed Hubs, die vielleicht noch irgendwo aus einer Ecke gezogen werden, drauf achten, daß die am Monitoring beteiligten Geräte mit der gleichen Geschwindigkeit laufen. Bin deswegen selbst vor Jahren mal vor einem Rätsel gestanden.
Lies halt den Source-Code. Dafür ist er da. Code ist da um gelesen zu werden. Big f**** news.
Danke euch allen für die vielen guten Ideen! Thomas O. schrieb: > Oder einen Hub ohne Switch Funktion dann kann man doch auch alles > Mitsniffen. Das klingt irgendwie logisch. Ich glaub der Throwing Star LAN Tap macht das auch so. Wo kriege ich einen Hub ohne Switchfunktion her? Gibt es kaum mehr, oder?
shark schrieb: > Danke euch allen für die vielen guten Ideen! > > Thomas O. schrieb: >> Oder einen Hub ohne Switch Funktion dann kann man doch auch alles >> Mitsniffen. > > Das klingt irgendwie logisch. Ich glaub der Throwing Star LAN Tap macht > das auch so. Nein. Der hat gar keine Elektronik und schließt einfach die RX-Leitungen von zwei Ports an die durchgeschliffenen TX-Leitungen an. Deswegen brauchst du bei dem zum Full-Duplex-Sniffen auch wieder zwei NICs.
shark schrieb: > Wo kriege ich einen Hub ohne Switchfunktion her? Gibt es kaum mehr, > oder? Deswegen ja einen (besseren) Switch nehmen. Der eine Port Monitoring Funktion bietet. Oder (wie ebenfall schon gesagt) einen PC als Ethernet-Bridge konfigurieren und dann den Traffic an einem (oder auch beiden) beteiligten Interfaces mitschneiden. XL
Du brauchst keinen Hub. Einfach einen PC mit einer NIC an den Switch haengen und arpspoof[1] verwenden. Beschrieben hier[2] Gruesse, Christian [1] http://arpspoof.sourceforge.net/ [2] http://su2.info/doc/arpspoof.php
Thomas O. schrieb: > Oder einen Hub ohne Switch Funktion dann kann man doch auch alles > Mitsniffen. Ein Hub ist ein Hub und ein Switch ist ein Switch. Ein Hub mit Switch-funktionalität wäre mir neu, aber anders herum geht es. Siehe unten. Bei einem Hub kannst du den gesamten Trafic lesen, weil nicht gefillter wird, und immer alles an alle geschickt wird. Nimm einen Switch und sorge dafür das er in den Failopen-Mode schaltet (z.B. per MAC-Flooding/Switch-Jamming), wenn du keinen Hub findest. Oder wie oben beschrieben per ArpSpoofing. Sonst die Variante mit dem PC und den zwei Karten. Wenn du keine lust hast dir mühsam die benötigten Tools zusammen zu suchen empfehle ich dir Kali Linux (ehemals BackTrack, basiert auf Debian), das bringt all die schönen sachen mit wie Metasploit, Wireshark, BeEf, dsniff, aircrack, tcpflow, armitage usw., also alles was du für dein Vorhaben brauchst. Have Fun
Ihr seid so gut und bringt so tolle Vorschläge, so dass ich mich kaum entscheiden kann. :-) Aber ich bin neugierig und habe noch Fragen: arpspoof leitet den Verkehr über einen anderen PC um, das ist eine praktische Sache. ARP-Pakete kenne ich aus dem Traffic-Dump, da sind zum Beispiel diese "Who-has...". hoffentlich bringen die veränderte ARP-Pakete im Netzwerk sonst nichts durcheinander. Zum Hub: Ich hab noch keinen reinen Hub gefunden, anscheinend will sowas keiner kaufen. Wie erkenne ich bei einem Switch, ob er sich auch als reiner Hub verwenden lässt? Dazu muss ich den Switch ja auf diese Funktion umschalten. Bei den üblichen "Technischen Daten" der Switche habe ich noch keinen mit einer solchen Funktion gefunden. Habt ihr einen Tipp?
wurde dir doch schon genannt: Beitrag "Re: Tipp für Ethernet-Sniffer (Gerät)?" Und Port-Monitoring war das Zauberwort zum Suchen.
bei einem Hub erhalten alle Rechner alle Datenpakete ich denke hier liegen jeweils alle Sende und Empangsleitungen parallel. Wenn ein Teilnehmer senden habe die anderen Sendepause, das wird also mit jedem Teilnehmer langsamer. Bei einem Switch werden die partner direkt miteinander verbunden. Wenn als A mit C sprechen will, kann zur gleichen Zeit B mit D sprechen. Bei einem Hub wirst deine Hardware also auch nach Empfängern ausfiltern müssen, bei einem Switch ist alles auf der Leitung für dies eine Station, hier wird also ein Port Mirror einfach dadurch zu bewerkstelligen sein das du dich auf die 2 Paare mit drauf hängst. Vielleicht wäre seotwas für dich geeignet um sich einfach mit auf die Leitung zu hängen
shark schrieb: > Zum Hub: Ich hab noch keinen reinen Hub gefunden, anscheinend will sowas > keiner kaufen. Wie erkenne ich bei einem Switch, ob er sich auch als > reiner Hub verwenden lässt? Dazu muss ich den Switch ja auf diese > Funktion umschalten. Bei den üblichen "Technischen Daten" der Switche > habe ich noch keinen mit einer solchen Funktion gefunden. Habt ihr einen > Tipp? Diese Funktion hat jeder Switch. Ein Switch hat eine Tabelle im RAM liegen von Port <-> MAC-Zuordnungen. Kommt auf einem Port ein Ethernet-Frame an, wird die MAC in der Tabelle nachgeschaut und der Frame auf dem zugehörigen Port wieder ausgegeben. In die Tabelle passen, je nach Switch-Größe und -Preis, irgendwas zwischen einigen hundert und etlichen tausend Einträgen. Wenn die Tabelle voll ist, kann der Switch nicht mehr wissen, welche MAC zu welchem Port gehört, deswegen geht er in den Failopen-Modus und verhält sich wie ein Hub und sendet immer alles an jeden Port raus. Also brauch man nur ein bissl MAC flooding machen um die Tabelle überlaufen zu lassen.
Kaj schrieb: > Ein Hub ist ein Hub und ein Switch ist ein Switch. Genau genommen ist ein Switch eigentlich ein "switching Hub". ;-)
Kaj schrieb: > Nimm einen Switch und sorge dafür das er in den Failopen-Mode schaltet Aber er komme bitte nicht auf Idee, seine Kiste einfach in den gleichen eh schon im Kundennetz vorhandenen Switch zu stopfen und diesen zu flooden. Es könnte sonst passieren, dass er die anschliessende Begegnung mit dem Admin nicht unbeschadet übersteht.
shark schrieb: > Funktion umschalten. Bei den üblichen "Technischen Daten" der Switche > habe ich noch keinen mit einer solchen Funktion gefunden. Habt ihr einen > Tipp? Ein kleiner von vielen. Gefunden im Inet mit den schon genannten Suchbegriffen. Er wird nicht zum Hub, kann aber das, so scheint es, was du möchtest wenn du nicht gerade ein ausgelastetes Gigabit Netzwerk hast. http://www.netgear.de/products/business/switches/prosafe-plus-switches/gs105e.aspx# http://www.heise.de/preisvergleich/netgear-prosafe-plus-gs105e-a544487.html
A. K. schrieb: > Kaj schrieb: >> Ein Hub ist ein Hub und ein Switch ist ein Switch. > Genau genommen ist ein Switch eigentlich ein "switching Hub". ;-) Immer diese Körner picker... :P shark schrieb: > Zum Hub: Ich hab noch keinen reinen Hub gefunden, anscheinend will sowas > keiner kaufen. Richtig, sowas will heute keiner mehr kaufen, weils für große Netze halt scheiße ist. Einen Hub kannst du für kleine LAN-Partys (um die 6 Leute) nehmen, oder für versuchs aufbauten, sonst sind Hubs so gut wie ausgestorben. A. K. schrieb: > Kaj schrieb: >> Nimm einen Switch und sorge dafür das er in den Failopen-Mode schaltet > Aber er komme bitte nicht auf Idee, seine Kiste einfach in den gleichen > eh schon im Kundennetz vorhandenen Switch zu stopfen und diesen zu > flooden. Muss ich erwähnen das so eine MAC-Flooding und ähnliches (auch Arp Poisoning) aktion als Angriff gewertet wird, und sowas nur unter zustimmung des Netzbetreibers oder im eigenen Netz erlaubt ist?! Ich erwähne das hier doch lieber mal. Also lieber shark, sowas darfst du nur, und ausschließlich in deinem Heimnetzwerk machen, bzw. wenn du es in der firma machst, dann in einem getrenten Netzwerk (z.b. Versuchsaufbau, 3 PCs ein Switch/Hub, keine Verbindung zum restlichen Firmennetz), und/oder mit schriftlicher genehmigung der Firma! Das verwenden einiger Tools kann je nach umstand als Straftat geahndet werden ("Hackerparagraph")! (wenn du es in deinem eigenen kleinen Netzwerk machst, entfällt der letze Satz!) Grüße
Hallo! arpspoof klappt prima, jedenfalls im getrennten Subnetz. In der Produktivumgebung will ich das doch lieber nicht einsetzen. Kropf schrieb: > http://www.netgear.de/products/business/switches/prosafe-plus-switches/gs105e.aspx# Danke, hat mir überzeugt, steht nun vor meiner Nase. :-) Leider verzweifle ich nun am Login: weder 192.168.0.1 noch 192.168.1.1 bringen eine HTML-Seite. Zwar liegt zusätzlich eine CD bei, aber die Utilities sind für Windows (verwende ich nicht). Grundsätzlich funktioniert der Switch, aber ich muss ihn ja parametrieren - wegen dem Port-Monitoring. Hat jemand eine Idee?
Schau mal hier: http://pcsupport.about.com/od/netgear-default-passwords/a/gs105e-default-password.htm 192.168.0.239 oder per DHCP vergeben
shark schrieb: > Leider verzweifle ich nun am Login: weder 192.168.0.1 noch 192.168.1.1 > bringen eine HTML-Seite. Zwar liegt zusätzlich eine CD bei, aber die > Utilities sind für Windows (verwende ich nicht). > Grundsätzlich funktioniert der Switch, aber ich muss ihn ja > parametrieren - wegen dem Port-Monitoring. Du musst zur Einrichtung des port mirroring einmalig die Utilities auf einem Windows-PC installieren und benutzen. Wie in dem verlinkten Youtube-Video oben erwähnt haben die GS105E/GS108E weder webserver noch telnet command-line interface: "What are the configurable features of ProSafe Plus Switch? The user can configure the following features on the ProSafe Plus Switch: Port Mirroring VLAN QoS Rate Limit Broadcast Storm Filtering How can I configure ProSafe Plus Switches? To configure a ProSafe Plus Switch, install the configuration software from the resource CD included with the device onto a Windows PC." LG, Sebastian
:
Bearbeitet durch User
Martin Maurer schrieb: > Schau mal hier: > > http://pcsupport.about.com/od/netgear-default-passwords/a/gs105e-default-password.htm > > 192.168.0.239 oder per DHCP vergeben Danke, hab ich probiert, nützt leider nichts. Der Switch ist im Moment das einzige Gerät, das am Rechner hängt, das heißt, die Switch-IP müsste zuverlässig vorbestimmbar sein. Sebastian Wangnick schrieb: > Du musst zur Einrichtung des port mirroring einmalig die Utilities auf > einem Windows-PC installieren und benutzen. Wie in dem verlinkten > Youtube-Video oben erwähnt haben die GS105E/GS108E weder webserver noch > telnet command-line interface: OK, damit hatte ich nicht gerechnet. Dann ist der Switch für mich wertlos und geht zurück. Schade... :-( Andere Empfehlungen?
> OK, damit hatte ich nicht gerechnet. Dann ist der Switch für mich > wertlos und geht zurück. Schade... :-( > > Andere Empfehlungen? Installier dir doch eben ne VM mit nem Windows und alles ist schick. ist ja nun kein großer aufwand. Grüße
shark schrieb: > Andere Empfehlungen? stöhn :) HP1700-8 http://www.heise.de/preisvergleich/hp-procurve-switch-1700-8-j9079a-a242789.html
Kropf schrieb: > stöhn :) > > HP1700-8 > > http://www.heise.de/preisvergleich/hp-procurve-switch-1700-8-j9079a-a242789.html Danke, den schau ich mir gleich an. Und sorry für meinen Unwillen, extra für einen Switch Windows kaufen zu wollen. Nochmal zum Netgear GS150E: da habe ich vorhin haarsträubende Sachen zum Thema Sicherheit gelesen. Für mich wär das nicht relevant, weil ich nur Tests damit machen will, aber für den normalen Einsatz schon. http://www.linux-magazin.de/Ausgaben/2012/10/Switch
shark schrieb: > Nochmal zum Netgear GS150E: da habe ich vorhin haarsträubende Sachen zum > Thema Sicherheit gelesen. Für mich wär das nicht relevant, weil ich nur > Tests damit machen will, aber für den normalen Einsatz schon. > > http://www.linux-magazin.de/Ausgaben/2012/10/Switch Na ja, habe den billigsten genommen, den ich gefunden habe. Sollte auch nur ein Beispiel sein und die HPs haben vermutlich auch irgendwelche Macken. Ob die zB mit jedem Webbrowser gehen ... Mußt schon selbst wissen, was du einsetzt/einsetzen kannst. Die guten werden immer weniger bezahlbar (wo auch immer die Grenze liegt), haben Routereigenschften sprich sind unübersichtlicher.
Die einzige Lösung bei der dir ein Admin nicht die Kabelpeitsche* näher bringt heißt Mirror Port! Wenn man das transparent machen will, sollte man das ohnehin unter Realbedingungen tun. Einen Gigabit-Port auf 10 oder 100Mbit zu drosseln, nur um einen gammeligen Hub anschließen zu können, entspricht nicht gerade Transparenz. Da kommen längst tot geglaubte Techniken wie die Kollisionserkennung im Ethernet wieder hoch... Die HP 1810G-8 und 24 gehen mit IE und Firefox. Chrome und Obstsoftware habe ich nicht probiert. Es geht also definitiv auch von Linux aus. Die einfachen Switches sind nunmal generell nicht manageable oder haben nur Web-Oberflächen. Erst ab der 2600er/2900er Serie gibts bei HP ne CLI, und vorher macht natürlich auch ein RS232 keinen Sinn. Man muss nur aufpassen wenn man das Management-VLAN bei der 1810G-Serie ändert, denn wenn man nicht einen Port bereits entsprechend für den Zugang vorbereitet hat, steht man draußen. Dann will man das Konsolenkabel anschließen, wundert sich kurz und dann weiß man warum der nächste Switch mit CLI gekauft wird, auch wenn er doppelt so viel kostet. Stellenweise bekommt man noch alte Cisco 29xx - die sind billig, weil lange End of Live und weil sie Gigabit allenfalls per GBIC können. Dafür mit Konsolenanschluss und managable. *) Kabelpeitsche: ca. 1m 100DA 0,8mm im Sternvierer. Abgesetzt und auf Bündel aufgeteilt.
Deneriel schrieb: > *) Kabelpeitsche: ca. 1m 100DA 0,8mm im Sternvierer. Abgesetzt und auf > Bündel aufgeteilt. Ne du. Das nimmt man heutzutage nichtmehr, die LART 2000 ist eigentlich Standard. 8 Cat 6 Patchkabel mit RJ45 am Ende und vier LWL-Einzelpigtails mit ST-Steckern (wegen Gleichberechtigung undso)
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.