Давно хотелось поработать со снифферами и научится "слушать" протоколы. Вот решил для самообразования послушать простой протокол. Modbus TCP например.
Подскажите как подступиться? Как работать с wireshark и как понимать "что?" передаётся?

я оставлю это здесь.

Вообще google друг ваш, туториалов полно , да и не так сложно там

+найти на помойке старенький HUB

Если понимать модель OSI и принцип работы каждого уровня, то вывод ваершарка становится понятен без тьюториалов. Рекомендую "W. Richard Stevens - TCP/IP Illustrated, Vol. 1: The Protocols"

Спасибо за наводку! Еще и 2 том с реализацией есть - искал нечто подобное, но не находил.

Тоже хочется "подслушивать", быть "третьим лицом" О чем общается уст-во с сервером в Интернете.
Подозреваю, нужна вторая сетевая карта(можно USB ?) и программа, для превращения компа в роутер.
Кто-нибудь занимался этим - просветите.

Две сетевые и Wireshark в помощь (это при условии что не используется шифрование, например https)

С ним понятно, но а кто будет осуществлять транзит между картами?

Устройство, гарантированно транслирующее все пакеты на все порты. Таковым может быть старенький Ethernet hub (не путать с современными коробочками, которые в большинстве своем являются switch'ами). Еще, кажется, некоторые современные switches можно сконфигурировать на работу в режиме повторителей или даже, кстати, попросить их сниффить трафик и рапортовать в WireShark. Но это решение несколько дороже будет.

Даю наводку , не надо транзит, надо просто встать на линию своими RX, вот пример. Там конечно много условий (и по железу и софту) но простейший совоет с "тупым" хабом вам уже дали.

Raven, Lagman , вы меня совсем запутали , однако.
Две карты все равно надо? Плюс еще старенький хаб(рядом валяется только старенький свитч)
Lagman, а в вашем примере , надо два "стареньких" роутера, но не надо сетевух вообще?
Непонятно , почему транзит сквозь комп хуже.
И , вообще , нельзя ли прекинуться полудуплексом и сделать ,типа "монтажного ИЛИ"?

Если хватит ресурсов роутеров то можно и их поставить, а можно две сетевые (которые имеют режим прослушки), почему две, т.к. из своих сетевых карт можно использовать только RX, то одну вешаем на RX линию, а другую на TX линию связи (если надо).

Если можно допустить разрыв кабеля и его обжим то используйте хаб и одну сетевую.

В статье на хабре почитайте комментарии, тогда более менее поймете.

Если в вашем компе две карты, то кроме WireShark больше ничего не нужно. Одной картой вставляете компьютер в сеть. Ко второй карте подключаете ваше исследуемое оборудование. На компе в настройках сетевых подключений организовываете мост (bridge) между этими картами. У вас в системе этот мост видится как виртуальная сетевая карта. Ее и слушаете WireSharkом.

Пытался сделать мост на ноуте, с сети на вай-фай в Интернет. Мост создался, по сторонам написано:"Подключено.Связано" Но "пройтись " по мосту не удалось . В Интернет из сети не выходит. Ноут , по вай-фай в интернете. Антивирус и брандмауэр- отключал. Кабель -кросс. Экран- протирал...
Вин 8.1

По-моему, (да и во-Вашему), транзит через комп-сниффер с 2 картами как-то нагляднее.
Я в этих делах плавал только на уровне писания в сокеты по UDP.
Сетевая карта весч "в себе", в смысле сложная, как по мне.
С ней легко работать на уровне сокетов и соотв-го API - WinSocket, IP, TCP, UDP - это протоколы уже верхнего уровня.
Снифер должен "садиться" на карту на уровне более "низких протоколов", или вообще на уровень фрейма Ethernet.
При этом не знаю, как идет работа с MAC - адресом. Наверное карта должна быть переведена на "всеядный" режим,
т.е. без фильтрации фреймов по MAC ?

Нет ли проекта (src) простейшего firewall - по сути, фильтрующй сниффер, или я чего не понял ?

Короче, прошелся... Оказалось , надо айпи адреса настроить.