Bagaimana cara menangkap semua paket yang masuk ke NIC bahkan paket-paket itu bukan milik saya

13

AFAIK, NIC menerima semua paket dari kawat di Local Area Network tetapi menolak paket-paket yang alamat tujuannya tidak sama dengan ip-nya.

Saya ingin mengembangkan aplikasi yang memantau penggunaan internet pengguna. Setiap pengguna memiliki alamat IP tetap.

Saya dan beberapa orang lainnya terhubung ke DES-108 8-Port Fast Ethernet Unmanaged Desktop Switch

Seperti yang dikatakan sebelumnya saya ingin menangkap semua lalu lintas dari semua pengguna tidak hanya paket-paket yang menjadi milik saya.

Bagaimana saya harus memaksa NIC saya atau komponen lain untuk menerima semua paket?

linux networking packet m.r226
sumber
1
Beli sakelar yang murah dan terkelola dengan harga sekitar € 30 dan aktifkan pencerminan port pada tautan ke gateway.
Max Ried

Jawaban:

27

AFAIK, NIC menerima semua paket dari kawat di Local Area Network tetapi menolak paket-paket yang alamat tujuannya tidak sama dengan ip-nya.

Koreksi: ia menolak paket-paket yang alamat MAC tujuannya tidak sama dengan alamat MAC-nya (atau multicast atau alamat tambahan apa pun di filternya.

Utilitas paket capture dapat dengan sepele menempatkan perangkat jaringan ke mode promiscuous, yang mengatakan bahwa pemeriksaan di atas dilewati dan perangkat menerima semua yang diterimanya. Bahkan, ini biasanya default: dengan tcpdump, Anda harus menentukan -popsi agar tidak melakukannya.

Masalah yang lebih penting adalah apakah paket-paket yang Anda minati bahkan dibawa turun ke port sniffing Anda sama sekali. Karena Anda menggunakan sakelar ethernet yang tidak dikelola, mereka hampir pasti tidak. Saklar memutuskan untuk memangkas paket yang bukan milik Anda dari port Anda sebelum perangkat jaringan Anda dapat berharap melihatnya.

Anda perlu menyambungkan ke mirroring atau port monitor yang dikonfigurasikan khusus pada sakelar ethernet terkelola untuk melakukan ini.

Celada
sumber
1
Atau hub Ethernet ... jika Anda dapat menemukan satu berkarat di loteng :) Saya ragu ada untuk 1000Base-T, Wikipedia mengatakan hub gigabit hanya mendukung setengah tautan dupleks dan sudah usang sekarang.
chx
1
@ chx, semua hub sejati hanya mendukung half duplex. Secara pribadi, saya belum pernah melihat 1000Base-T.
Celada
Saya percaya ini ada hubungannya dengan serapan lambat Gigabit Ethernet - meskipun standar 802.3ab keluar pada tahun 1999, penyerapannya sangat lambat hingga 2003/2004 ketika Intel pertama kali merilis chipset 875P dengan bus CSA khusus untuk Gigabit Ethernet dan kemudian pada tahun 2004 PCI Express mengambil alih dengan bandwidth yang cukup untuk Gigabit Ethernet. Dan pada saat itu, sakelar sudah cukup murah.
chx
Switch Ethernet tidak akan selalu menyiarkan Frames. Ini memiliki tabel switching itu sendiri (berisi peta port switch dan alamat MAC) untuk unicasting Frame. Jika tabel tidak memiliki entri untuk MAC di dalam Frame, maka itu memancarkan / membanjiri frame. Desktop Anda tidak akan pernah menerima Bingkai lainnya. Seperti dalam jawabannya, Anda harus menggunakan sakelar khusus untuk menangkap semua bingkai yang tiba di sakelar Anda.
Valarpirai
8

Pada awal mengatakan hub ethernet (bukan switch), paket yang dikirim tersedia untuk semua host di subnet, tetapi host yang bukan penerima yang dituju seharusnya diabaikan.

Jelas, tidak butuh waktu lama untuk subnet jenuh, jadi teknologi switch lahir untuk menyelesaikan masalah, dan salah satu hal yang mereka lakukan adalah membuat switch jaringan hanya paket rute yang ditujukan untuk host ke port tersebut (ditambah lalu lintas siaran) ).

Ini menyulitkan pemantauan jaringan / mengendus karena Anda hanya dapat mengendus paket yang untuk host Anda. Ini dianggap sebagai hal yang baik dari sudut pandang keamanan, tetapi dari sudut pandang pemantauan jaringan tidak begitu baik. Untuk membuat pemantauan jaringan berfungsi, vendor menerapkan fitur yang disebut port mirroring. Ini harus dikonfigurasi pada switch jaringan, dan tautan di bawah ini akan mengarahkan Anda ke arah yang benar untuk produk-produk D-link. Anda akan menemukannya di suatu tempat di perangkat lunak manajemen sakelar atau antarmuka admin web. Jika Anda tidak menemukan fitur-fitur ini, maka fungsionalitasnya mungkin tidak disediakan di perangkat tertentu.

http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring

Thomas Carlisle
sumber
2

Pertama, Anda perlu mengubah NIC Anda ke mode promiscuous. Mari kita asumsikan bahwa antarmuka NIC Anda adalah eth0.

root@linux#ifconfig eth0 promesc

Jika Anda berada di jaringan switch, sniffing Anda berkurang hingga collision domain terhubung ke port switch Anda. Anda dapat berlari macofuntuk membanjiri tabel penerusan switch.

root@linux#macof -i eth0

Kemudian Anda dapat menggunakan wiresharkatau tcpdumpuntuk menangkap semua lalu lintas.

root@linux#tcpdump -i eth0 -w outputfile

Jika Anda tidak berada di jaringan yang diaktifkan, cukup aktifkan mode promiscuous dan gunakan tcpdump.

Ahmed chiboub
sumber
1
tcpdumpakan mengaktifkan mode promiscuous untuk Anda. Anda tidak perlu melakukannya (dan ingat untuk membatalkannya setelah selesai) secara manual.
Celada
0

Anda menciptakan kembali roda.

Dengan anggapan Anda memiliki jaringan sederhana dengan klien yang terhubung ke sakelar, dengan gateway default ke internet, maka Anda hanya perlu memantau pada perangkat gateway default itu. Ini akan menjadi titik tersedak untuk menunjukkan semua lalu lintas antara klien LAN dan internet.

Saya berasumsi klien LAN untuk lalu lintas klien LAN tidak menarik, karena dengan semua alamat IP di dalam subnet IP yang sama maka lalu lintas lokal tidak menyentuh gateway default.

Jika Anda benar-benar ingin melihat semua lalu lintas, setiap pengguna harus berada di jaringan IP mereka sendiri dan lalu lintas ke jaringan lain adalah melalui gateway default. Anda dapat mengalokasikan / 28 untuk setiap orang dan mereka dapat memiliki 14 IP untuk diri mereka sendiri.

Router kelas rumahan rata-rata Anda tidak akan menangani banyak hal ini, Anda harus menjelajahi distro firewall khusus. Secara pribadi pfsense akan menjadi tujuan saya, tetapi ada banyak pilihan.

Criggie
sumber