1

Я хочу проанализировать, что происходит через кабель RJ45, без использования случайного MITM (отравление арпой и т.д.), Но во время использования MITM.

Объясняю: вместо подключения компьютера A eth0 к маршрутизатору R eth0 я хочу подключить компьютер A eth0 к компьютеру B eth0 и подключить компьютер B eth1 к маршрутизатору R eth0

A(eth0) <---> R(eth0)
A(eth0) <---> (eth0)B(eth1) <---> R(eth0)

Компьютер B должен иметь возможность регистрировать все, что проходит через него. Компьютер A и Маршрутизатор R не должны знать о том, что происходит (они оба должны думать, что они напрямую связаны). В это своего рода шпионское устройство.

(Я делаю это для того, чтобы сделать ложное обновление прошивки на "TV Box", которое предоставляет мой провайдер

Как я могу это сделать ?

1 ответ1

2

Поскольку у вас, по-видимому, есть физический доступ к сетевому соединению, то подключение концентратора Ethernet, вероятно, является самым простым решением. Вместо того, чтобы вставлять компьютер B между A и R, установите концентратор, а также подключите B к концентратору. Запустите Wireshark на B, чтобы захватить сетевой трафик.

Если у вас еще нет Ethernet-концентратора, вам необходимо знать о ловушках при попытке его приобретения. Вы не можете использовать переключатель для этой задачи, и некоторые "концентраторы" на самом деле являются переключателями! Полезная информация о концентраторах Ethernet находится здесь.

Компьютер B должен иметь возможность регистрировать все, что проходит через него.

Wireshark, безусловно, сможет захватывать / регистрировать все сетевые пакеты, передаваемые компьютером A и маршрутизатором R. Wireshark настроит указанный порт на случайный режим, чтобы аппаратное обеспечение не отфильтровывало полученные кадры Ethernet.

Компьютер A и Маршрутизатор R не должны знать о том, что происходит (они оба должны думать, что они напрямую связаны).

Единственный признак того, что в сети есть концентратор, а не коммутатор, заключается в том, что каналы вынуждены работать в полудуплексном, а не в полнодуплексном режиме. В результате задержка может быть немного выше, а пропускная способность будет снижена. Но эти же условия также могут быть вызваны увеличением сетевого трафика (или предложенной вами схемой вставки компьютера B), поэтому пользователю придется проявить смекалку, чтобы обнаружить присутствие концентратора (при условии, что он не виден).

Любая идея о конфигурации сети, которую я должен использовать?

При использовании Wireshark я предпочитаю использовать дополнительный порт Ethernet компьютера, либо второй сетевой адаптер, либо адаптер USB-Ethernet. Эта схема позволяет настраивать конфигурацию «снифф-порта», не нарушая конфигурацию (другого) порта для "нормальной" сетевой активности (например, назначение IP-адреса через DHCP и доступ в Интернет). Конечно, этому "порту прослушивания" должен быть назначен (уникальный) статический IP-адрес в той же подсети, что и компьютер А.

Этот ПК для прослушивания оптимально будет работать под управлением ОС Linux. Компьютеры под управлением Windows, как правило, игнорируют не-Windows-машины в сети. В Linux также есть команда ethtool, чтобы отключить передачу для "параметра паузы" и "контрольной суммы", но я никогда не использовал эти параметры и не знаю, помогут ли они сделать этот компьютер менее детектируемым.

Если вы используете ОС Windows на сниффере, обязательно удалите все протоколы (например, Client for Microsoft Networks , File and Printer Sharing for Microsoft Neworks , Link-Layer Topology Discovery ...), кроме Internet Protocol Version 4 разделе « Локальный». Область подключения Свойства для устройства Ethernet анализатора.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .