एनआईसी में आने वाले सभी पैकेटों पर कब्जा कैसे किया जाए, यहां तक ​​कि उन पैकेटों का भी मुझसे कोई संबंध नहीं है

13

AFAIK, NIC लोकल एरिया नेटवर्क में वायर से सभी पैकेट प्राप्त करता है, लेकिन उन पैकेटों को अस्वीकार कर देता है, जिनका गंतव्य पता इसके आईपी के बराबर नहीं है।

मैं एक एप्लिकेशन विकसित करना चाहता हूं जो उपयोगकर्ताओं के इंटरनेट उपयोग की निगरानी करता है। प्रत्येक उपयोगकर्ता का एक निश्चित IP पता होता है।

मैं और कुछ अन्य लोग DES-108 8-पोर्ट फास्ट ईथरनेट अप्रबंधित डेस्कटॉप स्विच से जुड़े हैं

जैसा कि पहले कहा गया था कि मैं उन सभी पैकेटों को न केवल उन पैकेटों पर कब्जा करना चाहता हूं, जो मेरे हैं।

मुझे अपने एनआईसी या अन्य घटकों को सभी पैकेट प्राप्त करने के लिए कैसे मजबूर करना चाहिए?

linux  networking  packet 
m.r226
स्रोत
1
लगभग 30 € के लिए एक सस्ता और प्रबंधित स्विच खरीदें और गेटवे के लिंक पर पोर्ट मिररिंग को सक्षम करें।
मैक्स रिड

जवाबों:

27

AFAIK, NIC लोकल एरिया नेटवर्क में वायर से सभी पैकेट प्राप्त करता है, लेकिन उन पैकेटों को अस्वीकार कर देता है, जिनका गंतव्य पता इसके आईपी के बराबर नहीं है।

सुधार: यह उन पैकेटों को अस्वीकार करता है, जिनका गंतव्य मैक पता इसके मैक पते (या मल्टीकास्ट या इसके फ़िल्टर में किसी भी अतिरिक्त पते) के बराबर नहीं है।

पैकेट कैप्चर यूटिलिटीज नेटवर्क डिवाइस को उचित मोड में डाल सकता है, जो यह कहता है कि उपरोक्त चेक बाईपास हो गया है और डिवाइस प्राप्त होने वाली सभी चीजों को स्वीकार कर लेता है। वास्तव में, यह आमतौर पर डिफ़ॉल्ट होता है: ऐसा करने के लिए tcpdump, आपको -pविकल्प निर्दिष्ट करना होगा।

अधिक महत्वपूर्ण मुद्दा यह है कि क्या आप जिन पैकेटों में रुचि रखते हैं, वे भी आपके सूँघने वाले बंदरगाह के लिए तार को नीचे ले जा रहे हैं। जब से आप एक मानवरहित ईथरनेट स्विच का उपयोग कर रहे हैं, वे लगभग निश्चित रूप से नहीं हैं। स्विच अपने नेटवर्क डिवाइस को देखने के लिए आशा कर सकते हैं इससे पहले कि आप अपने पोर्ट से नहीं है, पैकेट को prune करने का फैसला कर रहा है।

ऐसा करने के लिए आपको प्रबंधित ईथरनेट स्विच पर विशेष रूप से कॉन्फ़िगर किए गए मिररिंग या मॉनिटरिंग पोर्ट से कनेक्ट करने की आवश्यकता है।

Celada
स्रोत
1
या एक ईथरनेट हब ... यदि आप अटारी में एक जंग खा सकते हैं :) मुझे संदेह है कि 1000Base-T के लिए कोई भी हैं, हालांकि, विकिपीडिया का कहना है कि गीगाबिट हब ने केवल आधे डुप्लेक्स लिंक का समर्थन किया है और वे अब हटाए गए हैं।
chx
1
@chx, सभी सच्चे हब ने केवल आधा डुप्लेक्स का समर्थन किया। व्यक्तिगत रूप से, मैंने 1000Base-T को कभी नहीं देखा है।
सेलाडा
मेरा मानना ​​है कि यह गीगाबिट ईथरनेट की धीमी गति से आगे बढ़ना था - हालांकि 1999 में 802.3ab मानक सामने आया था, 2003/2004 तक अपटेक बहुत धीमा था जब इंटेल ने पहली बार 875P चिपसेट को गीगाबिट ईथरनेट के लिए समर्पित CSA बस के साथ जारी किया था और फिर 2004 में पीसीआई एक्सप्रेस ने गीगाबिट ईथरनेट के लिए आखिरकार पर्याप्त बैंडविड्थ ले ली। और तब तक, स्विच काफी सस्ते थे।
chx
ईथरनेट स्विच हमेशा फ्रेम्स को प्रसारित नहीं करेगा। इसमें स्वयं की स्विचिंग टेबल है (जिसमें फ्रेम को हटाने के लिए स्विच पोर्ट और मैक एड्रेस का नक्शा है)। यदि तालिका में फ्रेम में मैक के लिए कोई प्रविष्टि नहीं है, तो यह फ्रेम को प्रसारित / बाढ़ करता है। आपके डेस्कटॉप को कभी भी अन्य फ़्रेम प्राप्त नहीं होंगे। जवाब में, आपको अपने स्विच पर आने वाले सभी फ़्रेमों को पकड़ने के लिए विशेष स्विच का उपयोग करना होगा।
वलारपाइरी
8

ईथरनेट हब (स्विच नहीं) के आरंभिक रूप में, भेजे गए पैकेट सबनेट पर सभी मेजबानों के लिए उपलब्ध हैं, लेकिन मेजबान जो इच्छित प्राप्तकर्ता नहीं हैं, उन्हें अनदेखा करना चाहिए।

जाहिर है, यह सबनेट को संतृप्त करने में लंबा समय नहीं लगा, इसलिए समस्याओं को हल करने के लिए स्विच तकनीक का जन्म हुआ, और उन्होंने जो कुछ भी किया, वह नेटवर्क स्विच केवल रूट पैकेट को उस होस्ट के लिए नियत किए गए पोर्ट (प्लस एंड एंड ब्रॉडकास्ट ट्रैफिक) के लिए था। )।

यह नेटवर्क की निगरानी / सूँघने को जटिल बनाता है क्योंकि आप केवल अपने मेजबान के लिए पैकेट को सूँघ सकते हैं। यह सुरक्षा के दृष्टिकोण से एक अच्छी बात मानी जाती थी, लेकिन नेटवर्क निगरानी के दृष्टिकोण से इतना अच्छा नहीं था। नेटवर्क निगरानी कार्य करने के लिए, विक्रेता पोर्ट मिररिंग नामक एक सुविधा को लागू करते हैं। इसे नेटवर्क स्विच पर कॉन्फ़िगर करना होगा, और नीचे दिए गए लिंक को आपको डी-लिंक उत्पादों के लिए सही दिशा में इंगित करना चाहिए। आप इसे अपने स्विचेस प्रबंधन सॉफ़्टवेयर या वेब व्यवस्थापक इंटरफ़ेस में कहीं पाएंगे। यदि आपको ये सुविधाएँ नहीं मिलती हैं, तो हो सकता है कि कार्यक्षमता उस विशिष्ट उपकरण में उपलब्ध न हो।

http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring

थॉमस कार्लिस्ले
स्रोत
2

सबसे पहले आपको अपने एनआईसी को जरूरी मोड पर स्विच करना होगा। मान लेते हैं कि आपका एनआईसी इंटरफ़ेस eth0 है।

root@linux#ifconfig eth0 promesc

यदि आप एक स्विच नेटवर्क पर हैं, तो आपके स्विच पोर्ट से कनेक्ट होने वाले टकराव डोमेन से आपका सूँघना कम हो जाता है। आप macofस्विच की अग्रेषण तालिका को अभिभूत करने के लिए चला सकते हैं ।

root@linux#macof -i eth0

फिर आप सभी ट्रैफ़िक को उपयोग wiresharkया tcpdumpकैप्चर कर सकते हैं ।

root@linux#tcpdump -i eth0 -w outputfile

यदि आप स्विच्ड नेटवर्क पर नहीं हैं, तो बस प्रोमिसस मोड और उपयोग को सक्षम करें tcpdump

अहमद चिबूबे
स्रोत
1
tcpdumpआप के लिए होनहार मोड को सक्षम करेगा। आपको इसे करने की आवश्यकता नहीं है (और इसे याद रखें जब आप इसे पूरा कर लें तो इसे पूर्ववत करें)।
सेलडा
0

आप पहिया को फिर से मजबूत कर रहे हैं।

मान लें कि आपके पास स्विच करने के लिए क्लाइंट के साथ एक सरल नेटवर्क है, जो इंटरनेट के लिए एक डिफ़ॉल्ट गेटवे के साथ है, तो आपको केवल उस डिफ़ॉल्ट गेटवे डिवाइस पर निगरानी रखने की आवश्यकता है। यह LAN क्लाइंट और इंटरनेट के बीच सभी ट्रैफ़िक को दिखाने के लिए एक चोक पॉइंट होगा।

मैं मान रहा हूँ कि LAN क्लाइंट ट्रैफ़िक के लिए LAN क्लाइंट रूचि का नहीं है, क्योंकि एक ही IP सबनेट के अंदर सभी IP एड्रेस के साथ लोकल ट्रैफ़िक डिफ़ॉल्ट गेटवे को नहीं छूता है।

यदि आप वास्तव में सभी ट्रैफ़िक देखना चाहते हैं, तो प्रत्येक उपयोगकर्ता को अपने आईपी नेटवर्क में रहने की आवश्यकता है और अन्य नेटवर्क पर ट्रैफ़िक डिफ़ॉल्ट गेटवे के माध्यम से है। आप प्रत्येक व्यक्ति को / 28 को आवंटित कर सकते हैं और उनके पास खुद के लिए 14 आईपी हो सकते हैं।

आपका औसत होम-ग्रेड राउटर इसमें से बहुत कुछ नहीं संभालेंगे, आपको एक समर्पित फ़ायरवॉल डिस्ट्रो का पता लगाने की आवश्यकता होगी। व्यक्तिगत रूप से pfsense मेरा जाना होगा, लेकिन कई विकल्प हैं।

Criggie
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.