Ho una piccola rete locale nella mia casa che ha due computer collegati a un modem-router. Voglio catturare i pacchetti che vanno dal router a un server specifico (conosco l'indirizzo IP del server).
Il produttore del router è D-Link.
Ho una piccola rete locale nella mia casa che ha due computer collegati a un modem-router. Voglio catturare i pacchetti che vanno dal router a un server specifico (conosco l'indirizzo IP del server).
Il produttore del router è D-Link.
Risposte:
Per prima cosa dovrai entrare tra tutto quel traffico. Potresti farlo in diversi modi, il più semplice dei quali è probabilmente quello di identificare se hai davvero bisogno del traffico da entrambi i computer o solo del traffico da un singolo computer.
Se sono necessari entrambi, collegare i computer a un hub e quindi al router. Un hub invierà tutto il traffico di rete a tutte le porte, dove uno switch lo invierà solo alla destinazione prevista.
Se hai solo un interruttore, suppongo che potresti truccare un computer come gateway e puntare il secondo computer verso di esso, ma è disordinato.
Se hai bisogno di tutto il traffico, anche del router, posiziona un hub dopo il router e aggancia un computer ad esso. Questo probabilmente funzionerà solo se il traffico che stai tentando di acquisire non proviene dalla macchina che stai utilizzando per acquisire i pacchetti, altrimenti ti imbatterai in una configurazione più disordinata.
Una volta che tutto il traffico scorre attraverso la scheda NIC del tuo computer, prendi uno sniffer di pacchetti (in realtà preferisco Windows Network Monitor su Wireshark ) e inizia ad afferrare i pacchetti. Probabilmente vorrai filtrare il traffico per visualizzare solo il server in questione. I filtri in Microsoft Network Monitor sono molto intuitivi:
Se si esegue DD-WRT sul router di casa, è possibile eseguire tcpdump direttamente sul router, con l'output riportato sul sistema locale per l'elaborazione successiva.
Un esempio:
ssh root@192.168.1.1 -c "tcpdump -v -w - -i eth2" > mypackets.pcap
Basta premere Ctrl-C al termine e caricare il file di acquisizione nel tuo strumento di analisi preferito come Wireshark.
tcpdump
?
Con un router o uno switch di livello enterprise, è possibile eseguire il mirroring di una porta e utilizzare un programma di acquisizione di pacchetti come WireShark o Netmon per eseguire questa operazione. Con un router d-link, non c'è davvero modo di farlo costruito.
Una soluzione sarebbe quella di ottenere un hub di rete (non uno switch, ma un hub) e posizionarlo sulla rete interna. Quindi collegare l'uplink dall'hub a una porta sul router. Ora hai creato una situazione in cui tutto il traffico in entrata e in uscita dalla rete colpirà tutte le schede di rete della tua macchina, perché stai utilizzando un hub. Se lo fai, sarai in grado di eseguire WireShark o Netmon in modalità promiscua e catturare tutto questo traffico. Scrivere un filtro per isolare il traffico verso / da un IP specifico è banale.
A meno che i pacchetti non provengano dal router stesso (possibile, ma improbabile), i pacchetti dovrebbero provenire da uno dei computer collegati. In questo caso, è possibile utilizzare uno sniffer di pacchetti . SmartSniff è estremamente facile da usare e può essere configurato per acquisire e / o visualizzare solo connessioni a / da un IP, una porta specifici, ecc.