Программой для подсматривания я уже пользовался(WireShark).
Отлаживал устройства подключая через свитч к компьютеру.
На сколько мне известно, подсмотреть можно через хаб который транслирует пакеты на все порты.
Есть ли возможность смотреть за обменом устройств через свитч или роутер?
Полная версия этой страницы: Нужно подглядеть протокол Ethernet 100mbit
Форум разработчиков электроники ELECTRONIX.ru > Интерфейсы > Форумы по интерфейсам > Fast Ethernet/Gigabit Ethernet/FibreChannel
через "unmanaged" switch - можно. Только предварительно придется "обработать" этот свич специально сформированными пакетами.
Если это Managed switch, и имеет L2/L2+/L3 функционал - то всё зависит от того, как он настроен. Может оказаться что и совсем нельзя. Например, у интернет-провайдеров большинство такие.
Через роутер - зависит от того что за роутер. Если это PC и у вас есть к нему доступ - то пожалуйста, установливаете на него tcpdump/wireshark и вперёд, а вот если какой-нибудь Cisco 2811 - то фигушки.
Но тут есть и ещё один момент - некоторые свичи и роутеры умеют режим "port mirroring" в котором они могут слить вообще весь проходящий трафик в сторону одного из портов. Потом этот порт просто прослушивается тем же wireshark.
Поточнее, что ссделать надо?
Если это Managed switch, и имеет L2/L2+/L3 функционал - то всё зависит от того, как он настроен. Может оказаться что и совсем нельзя. Например, у интернет-провайдеров большинство такие.
Через роутер - зависит от того что за роутер. Если это PC и у вас есть к нему доступ - то пожалуйста, установливаете на него tcpdump/wireshark и вперёд, а вот если какой-нибудь Cisco 2811 - то фигушки.
Но тут есть и ещё один момент - некоторые свичи и роутеры умеют режим "port mirroring" в котором они могут слить вообще весь проходящий трафик в сторону одного из портов. Потом этот порт просто прослушивается тем же wireshark.
Поточнее, что ссделать надо?
Цитата(krux @ Jul 20 2013, 20:39) 
...Но тут есть и ещё один момент - некоторые свичи и роутеры умеют режим...
+ышо пять копеек:
у некоторых свитчей есть дырки, которые с успехом юзают хакеры. Например если свитч(по конкретной модели не скажу - но в инете вроде как инфа была) проходит фазу старта - он работает как обычный хаб. осталось уронить свитч
обычно пытаются закидать не меренным IP трафиком...
Есть еще один вариант - воткнуть в комп вторую сетевую карту, сделать из нее и основной сетевой карты мост (bridge connection), вотнуть устройство в эту вторую сетевую карту, запустить в компе wireshark и натравить его на мост. Я так отлаживаю свои устройства.
Цитата(Сергей Борщ @ Aug 2 2013, 18:39)
Есть еще один вариант - воткнуть в комп вторую сетевую карту, сделать из нее и основной сетевой карты мост (bridge connection), воткнуть устройство в эту вторую сетевую карту, запустить в компе wireshark и натравить его на мост. Я так отлаживаю свои устройства.
Можно поподробнее про этот способ ?
Конкретно интересует реализация "моста между двумя сетевыми картами".
С аппаратурой разобрался.
Использую Indy UDP + Builder C++;
Если устройство и ПК имеют одинаковое начало IP - 192.168 то можно и подслушать обменяться с устройством.
Но устройство еще выдает UDP пакет 283.9.9.1.
WireShark видит такой пакет, а моя программа нет.
Нигде не нашел в настройках как использовать Indy , для приема всех пакетов.
Можно ли использовать Indy в таком случае?
Использую Indy UDP + Builder C++;
Если устройство и ПК имеют одинаковое начало IP - 192.168 то можно и подслушать обменяться с устройством.
Но устройство еще выдает UDP пакет 283.9.9.1.
WireShark видит такой пакет, а моя программа нет.
Нигде не нашел в настройках как использовать Indy , для приема всех пакетов.
Можно ли использовать Indy в таком случае?
Цитата(misyachniy @ Oct 3 2013, 22:08)
С аппаратурой разобрался.
Использую Indy UDP + Builder C++;
Если устройство и ПК имеют одинаковое начало IP - 192.168 то можно и подслушать обменяться с устройством.
Но устройство еще выдает UDP пакет 283.9.9.1.
WireShark видит такой пакет, а моя программа нет.
Нигде не нашел в настройках как использовать Indy , для приема всех пакетов.
Можно ли использовать Indy в таком случае?
Использую Indy UDP + Builder C++;
Если устройство и ПК имеют одинаковое начало IP - 192.168 то можно и подслушать обменяться с устройством.
Но устройство еще выдает UDP пакет 283.9.9.1.
WireShark видит такой пакет, а моя программа нет.
Нигде не нашел в настройках как использовать Indy , для приема всех пакетов.
Можно ли использовать Indy в таком случае?
Для этого нужно переключить сетевую карту в неразборчивый (promiscuous) режим, и indy вам наверное в этом не поможет.
https://forums.embarcadero.com/message.jspa...D=465227#465227
Цитата
No. You cannot do promiscuous sniffing with a UDP socket. You need to use
a RAW socket for that. Although Indy does have TIdRawBase and TIdRawClient
components for working with RAW sockets, they do not natively support the
API that is needed for actually putting the socket into promiscuous mode
(ie WSAIoctl(SIO_RCVALL)). I suppose you could write a custom component
that is derived from TIdRawBase to handle that, though. However, RAW sockets
are limited to admin users only, so you would be better off using a sniffing
library like winpcap instead.
a RAW socket for that. Although Indy does have TIdRawBase and TIdRawClient
components for working with RAW sockets, they do not natively support the
API that is needed for actually putting the socket into promiscuous mode
(ie WSAIoctl(SIO_RCVALL)). I suppose you could write a custom component
that is derived from TIdRawBase to handle that, though. However, RAW sockets
are limited to admin users only, so you would be better off using a sniffing
library like winpcap instead.
Цитата(krux @ Jul 20 2013, 20:39)
через "unmanaged" switch - можно. Только предварительно придется "обработать" этот свич специально сформированными пакетами.
Хм, а как? Если обмен двусторонний и маки не бродкастовые, то не получится же. Или там что-то похитрее мухлежа с таблицей мак-адресов свича?
Цитата
Хм, а как? Если обмен двусторонний и маки не бродкастовые, то не получится же. Или там что-то похитрее мухлежа с таблицей мак-адресов свича?
свич изучает маки на портах. При этом максимальный размер таблицы ограничен. Для простейших свичей это 4к MAC-адресов. Для L3-свичей это может быть и 16к и 64к адресов.
В свич вдувается поток из пакетов, имеющих общий объем мак-адерсов > максимального размера ARP-таблицы свича. После этого свич переходит в режим хаба, когда он транслирует даже юникаст на все порты. profit.
однако время жизни ARP-записи всего порядка 2х минут, поэтому атаку надо проводить всё время, в течении которого хочется слушать трафик. При этом на порту естественно трафик будет не только нужный(целевой) но и порожний со спуфленными MAC-ами.
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.