スイッチドLANでのスニッフィング

Question

たとえば、開発中のアームボードと、ネットワーク上またはネットワーク外の別のコンピュータとの間の接続をスニッフィングしなければならない立場にいることがよくあります。

簡単な状況は、組み込みデバイスと通信しているコンピューターにスニファーをインストールできる場合です。それが不可能な場合は、現在、古い10Mb/sハブをインストールしています。ただし、HUBが機能しなくなる可能性があるので、別の方法を知りたいと思います。

これが私が考えることができる選択肢です：

別のハブを購入します。それはまだ可能ですか？
USBの場合と同じように、ある種のイーサネットスニッフィングブリッジを用意します。この種のデバイスは高価だと思います。
aRP中毒を使用します。

Sven · Accepted Answer

より高価なスイッチはポートミラーリングを提供し、1つまたは複数のポートのトラフィックを（とりわけ）あなたのような問題のために専用のモニターポートにミラーリングします。

しかし、そのような価格クラスの機能がどのような価格で提供されているのかはわかりません。

drAlberT · Answer

ettercap を使用して、幸せに暮らしましょう。

ARPスプーフィング対応ツール のリストについては、ウィキペディアを参照してください。
MACフラッディング攻撃攻撃しているスイッチによっては、試行することもできます。スイッチがこの種の攻撃にさらされると、オーバーフローするとハブとして機能します。
もちろん、HWアプローチ（はるかに柔軟性の低いIMHO）を使用できます。Dell27xxや28xxシリーズなどの非常に安価なスイッチは、ポートミラーリング機能を提供します。

Evan Anderson · Answer

単一のデバイスをスニッフィングするための手っ取り早い解決策は、2番目のNICを追加し、スニッフィングするデバイスを1つに接続することですNIC（必要に応じてクロスケーブルを使用））もう1つは、接続をブリッジし、ブリッジインターフェイスでスニッフィングします。マシンを（おそらく）大量のトラフィックフローに押し込まないため、実際に速度が低下することはありません。

これは、組み込みのブリッジ機能とWiresharkのようなものを使用してWindowsで実行できます。 Linuxでも同じことができます。他のOSのマイレージは異なる場合があります-私はWindowsとLinux以外では試していません。

David Pashley · Answer

スイッチにアクセスできないスイッチドネットワークでトラフィックをスニッフィングする方法は2つあります。 1つ目はARPスプーフィングで、ターゲットデバイスよりも速くARP要求に応答しようとします。これは明らかにそれを行う能力に依存しているので、少しヒットしてミスするかもしれません。 2つ目は、スイッチの転送テーブルをオーバーフローさせることです。すべてのスイッチにはMACアドレスのテーブルがあり、フレームがどのポートから送信されているかがわかるため、スイッチは将来のフレームの送信先を認識します。スイッチの転送テーブルに宛先MACアドレスがない場合は、すべてのポートに送信されます。転送テーブルを埋めることができる場合、スイッチにはすべてのフレームをすべてのポートに送信するオプションがなく、スイッチを事実上ハブに変えています。残念ながら、より高価なスイッチはより大きな転送テーブルを持ち、ポートごとの転送テーブルを持っている可能性があり、この攻撃に対して脆弱ではありません。

ハブが見つかった場合は、自分とターゲットの間にハブを挿入できます。別の方法は、2つのNICとそれらの間に構成されたブリッジを備えたLinuxデバイスを使用することです。

他の人が言及しているように、管理対象スイッチを管理している場合は、ポートミラーリングを使用して、ターゲットポート上のすべてのコピーを取得できます。

ハブが見つかった場合は、自分とターゲットの間にハブを挿入できます。別の方法は、2つのNICとそれらの間に構成されたブリッジを備えたLinuxデバイスを使用することです。

他の人が言及しているように、管理対象スイッチを管理している場合は、ポートミラーリングを使用して、ターゲットポート上のすべてのコピーを取得できます。

SteveM · Answer

イーサネットタップを構築し、そのデバイスを使用してトラフィックを分析することも検討してください。タップには、スイッチのミラーポートによって複製されない可能性のある誤った形式のイーサネットパケットを含む、すべてのトラフィックの分析を可能にするという利点があります。それはもう少し複雑です：

全二重接続でタップが正しく機能するには、2枚のネットワークカードが必要です。ただし、デバイスとの間でやり取りされるネットワークトラフィックの真の表現が得られます。これは、実行中の組み込み作業に役立つ場合があります。

Josh · Answer

他の人はこの質問に対してより良い、より技術的な答えを持っていますが、あなたの最初の質問に答えるために：私は100％確信がありませんが、これはスイッチ（スマートハブ）ではなくハブ（ダム）のようです。

http://www.Amazon.com/Dynex-DX-EHB4-Ethernet-10Base-T-external/dp/tech-data/B000U29M6Q/ref=de_a_smtd

私はそこにもっとあると確信しています、そうでなければ、私はeBayを試してみます。古いハブがいくつかあることは知っています。

john · Answer

DualcommのUSB電源の5ポートイーサネットスイッチは、ポートミラーリング機能を備えた「ハードワイヤー構成」であるニーズを満たすための最良の選択です。また、PoEインラインパワーパススルーもサポートしています。ファストイーサネット（$ 39.95）モデルとギガビットイーサネット（$ 119.95）モデルの両方が利用可能です。ポータブルで、多くのパケットスニッフィングアプリケーションに最適です。訪問： www.dual-comm.com