форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как заставить tcpdump услышать летящие мимо пакеты если есть..."
Сообщение от antons on 28-Май-03, 12:01  (MSK)
Как заставить tcpdump услышать летящие мимо пакеты если в сети есть свитч? Слышу только свои пакеты. Задача - слушать пакеты летящие через ADSL роутер к хосту, нахожусь в той же сети. Пробовал настроить политику маршрутизации на роутере и статикой кпрописывать маршрут к хосту через машину, на которой слушаю. В результате услышал только пакеты летящие от хоста к роутеру, а мне нужно наоборот. Вариант с добавлением новой сети меня не устраивает. Кто нибудь подскажет что можно еще придумать?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
Сообщение от A Clockwork Orange on 28-Май-03, 12:06  (MSK)
>Как заставить tcpdump услышать летящие мимо пакеты если в сети есть свитч? > >Слышу только свои пакеты. Задача - слушать пакеты летящие через ADSL роутер >к хосту, нахожусь в той же сети. Пробовал настроить политику маршрутизации >на роутере и статикой кпрописывать маршрут к хосту через машину, на >которой слушаю. В результате услышал только пакеты летящие от хоста к >роутеру, а мне нужно наоборот. Вариант с добавлением новой сети меня >не устраивает. Кто нибудь подскажет что можно еще придумать? А где же свич? Если свич неуправляемый, то сомнительно что можно
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от antons on 28-Май-03, 12:40  (MSK)
	> >А где же свич? >Если свич неуправляемый, то сомнительно что можно Роутер, хост, и машина на которой слушаю воткнуты в один неуправляемый свтч.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от Skif on 28-Май-03, 13:19  (MSK)
	>> >>А где же свич? >>Если свич неуправляемый, то сомнительно что можно > >Роутер, хост, и машина на которой слушаю воткнуты в один неуправляемый свтч. > У меня трикомовский 3300МХ в него воткнут канал от прова для инета на мой сервер плюс на айпителевонию. tcpdump выдает полностью все пакеты и таблицы идущие от аташек...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от falk0n on 29-Май-03, 10:07  (MSK)
	tcpdump'ом ты увидишь только широковещательные пакеты, если после в нормальном состоянии свич сыпет пакеты от всех получателей/отправителей по всем портам то это хаб, а не свич и нахрен он нужен. Просмотра трафика между двумя хостами третьим хостом, не находящимся между ними по маршруту, т.е. не маршрутизатор, шлюз и т.п., возможен только при искажении arp таблиц "arp spoofing" за отправителе/получателе - "man-in-the-middle". Тогда весь обмен трафиком идет через тебя, и если свитч дурак, то ничего с этим не поделать, кроме фиксации arp таблиц на машинах. Программы, типа Cain, автоматизирующие перехват трафика в сети на свичах можно посмотреть на www.insecure.org в рейтингах.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от Ilia on 29-Май-03, 11:36  (MSK)
	>tcpdump'ом ты увидишь только широковещательные пакеты, если после в нормальном состоянии свич >сыпет пакеты от всех получателей/отправителей по всем портам то это хаб, >а не свич и нахрен он нужен. Просмотра трафика между двумя >хостами третьим хостом, не находящимся между ними по маршруту, т.е. не >маршрутизатор, шлюз и т.п., возможен только при искажении arp таблиц "arp >spoofing" за отправителе/получателе - "man-in-the-middle". Тогда весь обмен трафиком идет через >тебя, и если свитч дурак, то ничего с этим не поделать, >кроме фиксации arp таблиц на машинах. Программы, типа Cain, автоматизирующие перехват >трафика в сети на свичах можно посмотреть на www.insecure.org в рейтингах. Читал, помнится, статью, в которой для достижения желаемого результата предлагали переполнить таблицу MAC-адресов в свитче. Для дешевых свитчей этого добиться нетрудно. После чего свитч начинает работать как тупой хаб, транслируя фреймы во все порты. Впрочем, я не пробовал :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от falk0n on 29-Май-03, 11:39  (MSK)
	В общем то, единственная нормальная защита от сниффинга в локальной сети это вилан.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от nece on 29-Май-03, 12:00  (MSK)
	Эту проблему тебе поможет решить класный снифер ettercap http://ettercap.sourceforge.net/ он если надо и flood и spoofing(разные виды) делает Просто запускай его чтобы он ловил всё, а не пароли и логины Удачи тебе мой юный Хакер :-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от antons on 29-Май-03, 12:19  (MSK)
	>Эту проблему тебе поможет решить класный снифер ettercap >http://ettercap.sourceforge.net/ >он если надо и flood и spoofing(разные виды) делает >Просто запускай его чтобы он ловил всё, а не пароли и логины > > >Удачи тебе мой юный Хакер :-) Мне не нужно ничего ломать, а сетку слушаю для учета входящего траффика из интернет. Слушаю через trafd.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от Antonio on 29-Май-03, 12:35  (MSK)
	>Мне не нужно ничего ломать, а сетку слушаю для учета входящего траффика >из интернет. Слушаю через trafd. А неужто нельзя сделать как положено -- машинка с двумя сетевыми картами, одна в провайдера (в вашем случае -- в ADSL-модем), вторая в свитч? И тогда не надо изобретать велосипед, снифферя сеть на левой машине для подсчета, кто сколько накачал...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от antons on 29-Май-03, 12:48  (MSK)
	>>Мне не нужно ничего ломать, а сетку слушаю для учета входящего траффика >>из интернет. Слушаю через trafd. > >А неужто нельзя сделать как положено -- машинка с двумя сетевыми картами, >одна в провайдера (в вашем случае -- в ADSL-модем), вторая в >свитч? И тогда не надо изобретать велосипед, снифферя сеть на левой >машине для подсчета, кто сколько накачал... Да я уже так и сделал, но вопрос в принципе. :-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от kt838 on 29-Май-03, 19:09  (MSK)
	в принципе: если свитч - это все-таки свитч, а не хаб, то ничего, кроме широковещательных и своих пакетов ты не услышишь. если оно тебе надо - в самом деле, пользуйся ettercap-ом, тока тогда весь траффик в сети будет через твою машину проходить....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от qq on 29-Май-03, 19:31  (MSK)
	>в принципе: > >если свитч - это все-таки свитч, а не хаб, то ничего, кроме >широковещательных и своих пакетов ты не услышишь. >если оно тебе надо - в самом деле, пользуйся ettercap-ом, тока тогда >весь траффик в сети будет через твою машину проходить.... учитывая, что задаче - подсчет траффика со многих машин, тут arp spoof не канает. сеть просто помрет. тут уже задавался подобный вопрос, нормальное решение (ну кроме того чтоб считать на роутере) - это использовать mirror порт на свиче (если есть у него такой), либо на пути к провайдеру вставить таки хаб, и в него же считалку воткнуть
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от qq on 29-Май-03, 19:32  (MSK)
	хотя всё равно такой способ подсчета аккуратным не назовешь, а mirroro порт на свиче не гарантирует получения _всех_ пакетов при большом траффике
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Как заставить tcpdump услышать летящие мимо пакеты если есть..."
	Сообщение от Andrey on 31-Май-03, 15:26  (MSK)
	>хотя всё равно такой способ подсчета аккуратным не назовешь, а mirroro порт >на свиче не гарантирует получения _всех_ пакетов при большом траффике для себя а аналогичную проблему решил при поможи моста. дальше firewall-ом ресовал статистику. Если есть другие решения, разьясняйте, гуру. D.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.