Come posso acquisire pacchetti che vanno dal mio router a un server specifico?

12

Ho una piccola rete locale nella mia casa che ha due computer collegati a un modem-router. Voglio catturare i pacchetti che vanno dal router a un server specifico (conosco l'indirizzo IP del server).

Il produttore del router è D-Link.

router sniffing

— user664174
fonte

2

Installa WireShark sul tuo "server".

— HopelessN00b,

Ci sono un paio di modi per farlo. Che tipo di router? Hai un hub (non un interruttore) che potresti mettere in linea. Hai accesso a uno switch su cui potresti eseguire un intervallo di porte? È possibile utilizzare SNORT su un PC e raccogliere il traffico posizionandolo in linea tra il router e il server. Ci sono molte risposte per questo.

— Everett,

Le connessioni vengono avviate dal router o da un sistema collegato al router?

— Synetech,

la connessione è tra il router stesso e un server. sul router è presente un firmware che si collega al server

— user664174

5

Per prima cosa dovrai entrare tra tutto quel traffico. Potresti farlo in diversi modi, il più semplice dei quali è probabilmente quello di identificare se hai davvero bisogno del traffico da entrambi i computer o solo del traffico da un singolo computer.

Se sono necessari entrambi, collegare i computer a un hub e quindi al router. Un hub invierà tutto il traffico di rete a tutte le porte, dove uno switch lo invierà solo alla destinazione prevista.

Se hai solo un interruttore, suppongo che potresti truccare un computer come gateway e puntare il secondo computer verso di esso, ma è disordinato.

Se hai bisogno di tutto il traffico, anche del router, posiziona un hub dopo il router e aggancia un computer ad esso. Questo probabilmente funzionerà solo se il traffico che stai tentando di acquisire non proviene dalla macchina che stai utilizzando per acquisire i pacchetti, altrimenti ti imbatterai in una configurazione più disordinata.

Una volta che tutto il traffico scorre attraverso la scheda NIC del tuo computer, prendi uno sniffer di pacchetti (in realtà preferisco Windows Network Monitor su Wireshark ) e inizia ad afferrare i pacchetti. Probabilmente vorrai filtrare il traffico per visualizzare solo il server in questione. I filtri in Microsoft Network Monitor sono molto intuitivi: inserisci qui la descrizione dell'immagine

— Tanner Faulkner
fonte

ho bisogno di catturare la comunicazione dal router stesso (è il firmware) a un server su Internet. ho bisogno di catturare entrambe le direzioni.

— user664174

Ti servono entrambi i computer per poter generare traffico? Se riesci a collegarne uno all'hub dopo il router e lasciarlo "morto" sulla rete oltre a catturare i pacchetti, sarebbe probabilmente la strada da percorrere. Un po 'più di dettagli potrebbe non danneggiare ciò che esattamente stai cercando di fare. Sembra strano che tu debba catturare questo traffico. Potrebbe esserci un modo migliore per raggiungere il tuo obiettivo sottostante.

— Tanner Faulkner,

il mio isp ha aggiunto al router un nuovo utente con una password che solo lui conosce. lo ha fatto in modo che gli utenti possano accedere a una pagina di installazione creata dall'isp e configurare il router. vorrei scoprire quella password. quindi il router è stato loggato dal server dell'isp e voglio catturare la comunicazione. immagino sia sicuro, ma voglio ancora controllare

— user664174

Ho pensato che potresti non essere buono. ;) Sarei disposto a scommettere che non stanno inviando la password senza l'hash. Se vuoi accedere al tuo router (voglio dire, perché non dovresti?) Probabilmente stai meglio acquistando il tuo e semplicemente falsificando l'indirizzo MAC di quello vecchio, piuttosto che provare a entrare in quello.

— Tanner Faulkner,

posso accedere al router ma voglio trovare la password.

— user664174,

10

Se si esegue DD-WRT sul router di casa, è possibile eseguire tcpdump direttamente sul router, con l'output riportato sul sistema locale per l'elaborazione successiva.

Un esempio:

ssh root@192.168.1.1 -c "tcpdump -v -w - -i eth2" > mypackets.pcap

Basta premere Ctrl-C al termine e caricare il file di acquisizione nel tuo strumento di analisi preferito come Wireshark.

— Michael Hampton
fonte

1

Come ci arrivo tcpdump?

— Rakslice,

questo comando è stato il mio preferito in assoluto. ci sono molti modi, è possibile utilizzare OPKG, IPKG o altri gestori di pacchetti basati su router. o forse puoi semplicemente trovare un tcpdump compilato da mips / arms (su internet) e metterlo nella directory del router o nel filesystem temporaneo.

— Valerio

0

Con un router o uno switch di livello enterprise, è possibile eseguire il mirroring di una porta e utilizzare un programma di acquisizione di pacchetti come WireShark o Netmon per eseguire questa operazione. Con un router d-link, non c'è davvero modo di farlo costruito.

Una soluzione sarebbe quella di ottenere un hub di rete (non uno switch, ma un hub) e posizionarlo sulla rete interna. Quindi collegare l'uplink dall'hub a una porta sul router. Ora hai creato una situazione in cui tutto il traffico in entrata e in uscita dalla rete colpirà tutte le schede di rete della tua macchina, perché stai utilizzando un hub. Se lo fai, sarai in grado di eseguire WireShark o Netmon in modalità promiscua e catturare tutto questo traffico. Scrivere un filtro per isolare il traffico verso / da un IP specifico è banale.

— MDMarra
fonte

1

Potresti essere in grado di riempire la tabella degli indirizzi mac sul router D-link in modo che diventi un hub e trasmetta senza pensarci tutto lo schifo su ogni porta.

— Tom O'Connor,

0

A meno che i pacchetti non provengano dal router stesso (possibile, ma improbabile), i pacchetti dovrebbero provenire da uno dei computer collegati. In questo caso, è possibile utilizzare uno sniffer di pacchetti . SmartSniff è estremamente facile da usare e può essere configurato per acquisire e / o visualizzare solo connessioni a / da un IP, una porta specifici, ecc.

— Synetech
fonte