Программой для подсматривания я уже пользовался(WireShark).
Отлаживал устройства подключая через свитч к компьютеру.
На сколько мне известно, подсмотреть можно через хаб который транслирует пакеты на все порты.
Есть ли возможность смотреть за обменом устройств через свитч или роутер?

через "unmanaged" switch - можно. Только предварительно придется "обработать" этот свич специально сформированными пакетами.
Если это Managed switch, и имеет L2/L2+/L3 функционал - то всё зависит от того, как он настроен. Может оказаться что и совсем нельзя. Например, у интернет-провайдеров большинство такие.

Через роутер - зависит от того что за роутер. Если это PC и у вас есть к нему доступ - то пожалуйста, установливаете на него tcpdump/wireshark и вперёд, а вот если какой-нибудь Cisco 2811 - то фигушки.

Но тут есть и ещё один момент - некоторые свичи и роутеры умеют режим "port mirroring" в котором они могут слить вообще весь проходящий трафик в сторону одного из портов. Потом этот порт просто прослушивается тем же wireshark.

Поточнее, что ссделать надо?

+ышо пять копеек:
у некоторых свитчей есть дырки, которые с успехом юзают хакеры. Например если свитч(по конкретной модели не скажу - но в инете вроде как инфа была) проходит фазу старта - он работает как обычный хаб. осталось уронить свитч обычно пытаются закидать не меренным IP трафиком...

Есть еще один вариант - воткнуть в комп вторую сетевую карту, сделать из нее и основной сетевой карты мост (bridge connection), вотнуть устройство в эту вторую сетевую карту, запустить в компе wireshark и натравить его на мост. Я так отлаживаю свои устройства.

Можно поподробнее про этот способ ?
Конкретно интересует реализация "моста между двумя сетевыми картами".

С аппаратурой разобрался.
Использую Indy UDP + Builder C++;
Если устройство и ПК имеют одинаковое начало IP - 192.168 то можно и подслушать обменяться с устройством.
Но устройство еще выдает UDP пакет 283.9.9.1.
WireShark видит такой пакет, а моя программа нет.
Нигде не нашел в настройках как использовать Indy , для приема всех пакетов.
Можно ли использовать Indy в таком случае?

Для этого нужно переключить сетевую карту в неразборчивый (promiscuous) режим, и indy вам наверное в этом не поможет.

https://forums.embarcadero.com/message.jspa...D=465227#465227




Хм, а как? Если обмен двусторонний и маки не бродкастовые, то не получится же. Или там что-то похитрее мухлежа с таблицей мак-адресов свича?

Сообщение отредактировал sorok-odin - Oct 4 2013, 16:35

свич изучает маки на портах. При этом максимальный размер таблицы ограничен. Для простейших свичей это 4к MAC-адресов. Для L3-свичей это может быть и 16к и 64к адресов.
В свич вдувается поток из пакетов, имеющих общий объем мак-адерсов > максимального размера ARP-таблицы свича. После этого свич переходит в режим хаба, когда он транслирует даже юникаст на все порты. profit.
однако время жизни ARP-записи всего порядка 2х минут, поэтому атаку надо проводить всё время, в течении которого хочется слушать трафик. При этом на порту естественно трафик будет не только нужный(целевой) но и порожний со спуфленными MAC-ами.