Як я можу захоплювати пакети, що йдуть від мого маршрутизатора до певного сервера?


12

У мене вдома невелика локальна мережа, яка має два комп’ютери, підключені до модему-маршрутизатора. Я хочу захопити пакети, що йдуть від маршрутизатора до певного сервера (я знаю IP-адресу сервера).

Виробник маршрутизатора - D-Link.


2
Встановіть проводку на вашому "сервері".
HopelessN00b

Є кілька способів цього досягти. Який роутер? Чи є у вас концентратор (не перемикач), який ви могли б поставити в ряд. Чи маєте ви доступ до комутатора, на якому можна було б виконати портовий проміжок? Ви можете використовувати SNORT на ПК та збирати трафік, розміщуючи його в лінії між маршрутизатором та сервером. На це є багато відповідей.
Еверетт

Чи з'єднання ініціюються від маршрутизатора або від системи, підключеної до маршрутизатора?
Synetech

з'єднання між самим маршрутизатором і сервером. на маршрутизаторі є прошивка відьом підключення до сервера
user664174

Відповіді:


5

Спочатку вам доведеться заплутатися між усім цим трафіком. Це можна зробити кількома способами, найпростішим з яких є, мабуть, ідентифікація, чи справді вам потрібен трафік з обох комп'ютерів або просто трафік з одного комп’ютера.

Якщо вам потрібно обоє, підключіть комп’ютери до концентратора, а потім до маршрутизатора. Хаб відправить увесь мережевий трафік у всі порти, де комутатор відправить його лише за призначенням.

Якщо у вас є лише комутатор, я гадаю, що ви могли б встановити один комп'ютер як шлюз і вказати другий комп'ютер на нього, але це безладно.

Якщо вам потрібен увесь трафік, навіть маршрутизатор, поставте концентратор після маршрутизатора і підключіть до нього комп'ютер. Це, ймовірно, спрацює лише в тому випадку, якщо трафік, який ви намагаєтеся зафіксувати , не походить з машини, яку ви використовуєте для зйомки пакетів, інакше ви збираєтеся запустити в якусь більш брудну конфігурацію.

Після того, як весь трафік пройде повз NIC комп'ютера, візьміть sniffer пакетів (я фактично віддаю перевагу мережевому монітору Windows через Wireshark ) і починайте захоплювати пакети. Ви, ймовірно, захочете відфільтрувати трафік, щоб просто відобразити відповідний сервер. Фільтри в мережевому моніторі Microsoft дуже зручні для користувачів: введіть тут опис зображення


Мені потрібно захопити комунікатор від самого маршрутизатора (це прошивка) на сервер в Інтернеті. мені потрібно захопити обидва напрямки.
user664174

Вам потрібні обидва комп'ютери, щоб також можна було генерувати трафік? Якщо ви зможете підключити його до концентратора після маршрутизатора і дозволити йому бути "мертвим" для мережі, окрім захоплення пакетів, це, мабуть, шлях. Трохи більше деталей може не зашкодити тому, що саме ви намагаєтеся зробити. Здається дивним, що вам потрібно буде зафіксувати цей трафік. Можливо, буде кращий спосіб досягти своєї основної мети.
Таннер Фолкнер

мій isp поставив в маршрутизатор нового користувача з паролем тільки він знає. він зробив це, щоб користувачі могли перейти на сторінку налаштування, яку створили isp і налаштувати маршрутизатор. я хотів би дізнатися цей пароль. тому роутер увійшов у систему з сервера isp, і я хочу захопити зв'язок. Я думаю, що це захищено, але все ж я хочу перевірити
user664174

Я подумав, що тобі нічого не вийде. ;) Я б хотів зробити ставку, що вони не надсилають пароль, не стикаючи його. Якщо ви хочете отримати доступ до свого маршрутизатора (я маю на увазі, чому б вам цього не зробити?), Ви, мабуть, краще придбати свій власний і просто сфабрикувати MAC-адресу старого, а не намагатися проникнути до цього.
Таннер Фолкнер

я можу увійти до маршрутизатора, але я хочу знайти пароль.
user664174

10

Якщо ви запустите DD-WRT на домашньому маршрутизаторі, ви можете запустити tcpdump безпосередньо на маршрутизаторі, при цьому висновок повернеться до вашої локальної системи для подальшої обробки.

Приклад:

ssh root@192.168.1.1 -c "tcpdump -v -w - -i eth2" > mypackets.pcap

Просто натисніть Ctrl-C, коли закінчите, і завантажте файл захоплення у ваш улюблений інструмент аналізу, наприклад Wireshark.


1
Як я можу потрапити tcpdumpтуди?
rakslice

ця команда була моєю улюбленою коли-небудь. Є багато способів, ви можете використовувати OPKG, IPKG або якийсь інший менеджер пакетів на основі маршрутизатора. а може, ви просто можете знайти tcpdump (в Інтернеті), зібраний пробіжками / зброєю, і помістити у свою директорію маршрутизатора або тимп.
Валеріо

0

За допомогою маршрутизатора чи комутатора корпоративного класу ви зможете відобразити порт і використовувати програму захоплення пакетів, наприклад, wireshark або netmon, щоб зробити це. За допомогою маршрутизатора d-link насправді немає способу зробити це.

Одним із рішень було б отримати мережевий концентратор (не комутатор, а концентратор) та розмістити його у своїй внутрішній мережі. Потім підключіть висхідну лінію від концентратора до порту вашого маршрутизатора. Тепер ви створили ситуацію, коли весь трафік у вашій мережі та поза нею буде потрапляти на всі NIC вашої машини, оскільки ви використовуєте концентратор. Якщо ви це зробите, ви зможете запустити проводку або мережу в безладному режимі та захопити весь цей трафік. Запис фільтра для ізоляції трафіку до конкретного IP-адреси є тривіальним.


1
Можливо, ви зможете заповнити таблицю адрес mac на маршрутизаторі D-link, щоб вона стала хабом, і безглуздо передавала всі лайно на кожен порт.
Том О'Коннор

0

Якщо пакети не надходять від самого маршрутизатора (можливо, але малоймовірно), пакети повинні надходити з одного з підключених комп'ютерів. У цьому випадку ви можете використовувати пакет-sniffer . SmartSniff надзвичайно простий у використанні і може бути налаштований на захоплення та / або відображення лише з'єднань до / з певного IP, порту тощо.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.