Я часто оказываюсь в ситуации, когда мне приходится обнюхивать соединение, например, между armboard, на котором я разрабатываю, и другим компьютером в сети или вне сети.
Легкая ситуация - это когда я могу установить на компьютер сниффер, говорящий со встроенным устройством. Когда это невозможно, я сейчас устанавливаю старый концентратор 10 Мбит / с. Однако я боюсь, что мой HUB может перестать работать, и я хотел бы узнать альтернативу.
Вот альтернативы, о которых я мог подумать:
Более дорогие коммутаторы будут предлагать зеркалирование портов, где они будут зеркалировать трафик одного или нескольких портов на выделенный порт монитора для (среди прочего) проблем, подобных вашей.
Но я не уверен, в каком ценовом классе предлагаются такие функции.
Быстрое и грязное решение для сниффинга одного устройства - это добавить вторую сетевую карту, подключить устройство, которое нужно прослушать, к одной сетевой карте (с помощью перекрестного кабеля, если необходимо), а локальную сеть - к другой, затем перебросить соединения и прослушать интерфейс моста. Поскольку вы не вклиниваете машину в интенсивный транспортный поток (предположительно), вы действительно ничего не замедляете.
Вы можете сделать это в Windows со встроенной функцией моста и чем-то вроде Wireshark. Linux позволит вам делать то же самое. Возможности других ОС могут отличаться - я нигде не пробовал, кроме Windows и Linux.
Есть два способа прослушивания трафика в коммутируемой сети, где у вас нет доступа к коммутатору. Первый - это подмена ARP, при которой вы пытаетесь отвечать на запросы ARP быстрее, чем целевое устройство. Это, очевидно, зависит от вашей способности делать это, поэтому может быть немного ошибочным. Второй - переполнение таблиц переадресации коммутатора. У каждого коммутатора есть таблица MAC-адресов и портов, с которых он видит кадры, поэтому коммутатор знает, куда отправлять будущие кадры. Если коммутатор не имеет MAC-адреса назначения в таблице пересылки, он отправляет его на каждый порт. Если вы можете заполнить таблицу пересылки, коммутатор не сможет отправлять все кадры на каждый порт, и вы фактически превратили свой коммутатор в концентратор. К сожалению, более дорогие коммутаторы имеют большие таблицы переадресации и могут иметь таблицы переадресации для каждого порта, которые не будут уязвимы для этой атаки.
Вы можете вставить концентратор между вами и вашей целью, если сможете его найти. Альтернативой могло бы быть использование устройства Linux с двумя сетевыми адаптерами и настроенным мостом между ними.
Если у вас есть управляемый коммутатор под вашим контролем, как упоминали другие люди, вы можете использовать зеркалирование портов, чтобы получить копию всего на целевом порту (ах).
Использовать Ettercap и живи счастливо.
См. Википедию для списка Инструменты с поддержкой ARP-спуфинга
Атака MAC Flooding тоже можно попробовать, в зависимости от атакуемого переключателя. Если коммутатор подвергнется такой атаке, он будет действовать как HUB после переполнения.
Вы, конечно, можете использовать подход HW (гораздо менее гибкий IMHO), очень недорогой коммутатор, такой как серии Dell 27xx и 28xx, предлагает функцию зеркалирования портов.
Вы можете также рассмотреть возможность создания ответвителя Ethernet и использования этого устройства для анализа трафика. Преимущество ответвителя заключается в том, что он позволяет анализировать весь трафик, включая неправильно сформированные пакеты Ethernet, которые не могут быть дублированы зеркальным портом коммутатора. Это немного сложнее:
Для правильной работы ответвителя при полнодуплексном подключении вам потребуются две сетевые карты. Тем не менее, вы получите истинное представление о сетевом трафике, проходящем к устройству и от него, что может быть полезно для любой выполняемой вами встроенной работы.
У других людей есть лучшие, более технические ответы на этот вопрос, но отвечу на ваш первый вопрос: я не уверен на 100%, но это скорее концентратор (тупой), чем коммутатор (умный концентратор).
http://www.amazon.com/Dynex-DX-EHB4-Ethernet-10Base-T-external/dp/tech-data/B000U29M6Q/ref=de_a_smtd
Я уверен, что есть еще кое-что, если нет, я бы попробовал eBay. Я знаю, что у меня есть несколько старых хабов.
5-портовый Ethernet-коммутатор Dualcomm с питанием от USB должен быть лучшим выбором для удовлетворения ваших потребностей, поскольку он «настроен жестко» с функцией зеркалирования портов. Он также поддерживает сквозное сквозное питание PoE. Доступны модели Fast Ethernet (39,95 долларов США) и Gigabit Ethernet (119,95 долларов США). Портативный и отлично подходит для многих приложений для анализа пакетов. Посещение: www.dual-comm.com