Wie kann ich Pakete erfassen, die von meinem Router an einen bestimmten Server gesendet werden?

12

Ich habe ein kleines lokales Netzwerk in meinem Haus, an dem zwei Computer mit einem Modemrouter verbunden sind. Ich möchte die Pakete erfassen, die vom Router an einen bestimmten Server gesendet werden (ich kenne die IP-Adresse des Servers).

Der Hersteller des Routers ist D-Link.

router sniffing user664174
quelle
2
Installiere wireshark auf deinem "Server".
HopelessN00b
Es gibt verschiedene Möglichkeiten, dies zu erreichen. Was für ein Router? Haben Sie einen Hub (kein Switch), den Sie in die Reihe stellen könnten? Haben Sie Zugriff auf einen Switch, für den Sie eine Portspanne festlegen können? Sie können SNORT auf einem PC verwenden und den Datenverkehr erfassen, indem Sie ihn zwischen Router und Server platzieren. Dafür gibt es viele Antworten.
Everett
Werden die Verbindungen vom Router oder von einem mit dem Router verbundenen System initiiert ?
Synetech
Die Verbindung besteht zwischen dem Router selbst und einem Server. Auf dem Router befindet sich eine Firmware, die eine Verbindung zum Server herstellt
user664174 24.07.12

Antworten:

5

Zuerst musst du zwischen all diesen Verkehr geraten. Sie können dies auf verschiedene Arten tun. Am einfachsten ist es wahrscheinlich, festzustellen, ob Sie wirklich den Datenverkehr von beiden Computern oder nur den Datenverkehr von einem einzelnen Computer benötigen.

Wenn Sie beide benötigen, schließen Sie die Computer an einen Hub und dann an den Router an. Ein Hub sendet den gesamten Netzwerkverkehr an alle Ports, und ein Switch sendet ihn nur an das vorgesehene Ziel.

Wenn Sie nur einen Switch haben, könnten Sie einen Computer als Gateway konfigurieren und den zweiten Computer darauf ausrichten, aber das ist chaotisch.

Wenn Sie den gesamten Datenverkehr, auch den Router, benötigen , platzieren Sie einen Hub nach Ihrem Router und schließen Sie einen Computer an. Dies funktioniert wahrscheinlich nur, wenn der Datenverkehr, den Sie erfassen möchten, nicht von dem Computer stammt, den Sie zum Erfassen der Pakete verwenden. Andernfalls wird die Konfiguration unordentlicher.

Sobald der gesamte Datenverkehr an der Netzwerkkarte Ihres Computers vorbei fließt, nehmen Sie einen Paket-Sniffer (ich bevorzuge eigentlich Windows Network Monitor gegenüber Wireshark ) und beginnen Sie, die Pakete zu erfassen. Wahrscheinlich möchten Sie den Datenverkehr filtern, um nur den betreffenden Server anzuzeigen. Filter in Microsoft Network Monitor sind sehr benutzerfreundlich: Bildbeschreibung hier eingeben

Tanner Faulkner
quelle
Ich muss die Kommunikation vom Router selbst (der Firmware) zu einem Server im Internet erfassen. Ich muss beide Richtungen erfassen.
user664174
Benötigen Sie beide Computer, um auch Datenverkehr zu generieren? Wenn Sie einen an den Hub nach dem Router anschließen und ihn für das Netzwerk "tot" lassen können, ohne Pakete zu erfassen, ist dies wahrscheinlich der richtige Weg. Ein bisschen mehr Detail kann nicht schaden, was genau Sie versuchen, zu tun. Es scheint seltsam, dass Sie diesen Datenverkehr erfassen müssen. Möglicherweise gibt es einen besseren Weg, um Ihr zugrunde liegendes Ziel zu erreichen.
Tanner Faulkner
mein isp hat dem router einen neuen benutzer mit einem nur ihm bekannten passwort hinzugefügt. er tat dies, damit die benutzer zu einer vom isp erstellten einrichtungsseite gehen und den router konfigurieren können. Ich möchte dieses Passwort herausfinden. der router ist also vom server des isp eingeloggt und ich möchte die kommunikation aufzeichnen. Ich denke, es ist gesichert, aber ich möchte immer noch überprüfen
user664174
Ich dachte, Sie könnten nichts Gutes tun. ;) Ich würde wetten, dass sie das Passwort nicht senden, ohne es zu hacken. Wenn Sie auf Ihren Router zugreifen möchten (ich meine, warum sollten Sie das nicht tun?), Ist es wahrscheinlich besser, sich einen eigenen zu kaufen und die MAC-Adresse des alten zu fälschen, als zu versuchen, in diesen einzudringen.
Tanner Faulkner
Ich kann mich beim Router anmelden, möchte aber das Passwort herausfinden.
user664174
10

Wenn Sie DD-WRT auf Ihrem Heimrouter ausführen, können Sie tcpdump direkt auf dem Router ausführen, wobei die Ausgabe zur späteren Verarbeitung auf Ihr lokales System zurückgeführt wird.

Ein Beispiel:

ssh [email protected] -c "tcpdump -v -w - -i eth2" > mypackets.pcap

Drücken Sie einfach Strg-C, wenn Sie fertig sind, und laden Sie die Aufnahmedatei in Ihr bevorzugtes Analysetool wie Wireshark.

Michael Hampton
quelle
1
Wie komme ich tcpdumpdort hin?
Rakslice
Dieser Befehl war schon immer mein Favorit. Es gibt viele Möglichkeiten, OPKG, IPKG oder einen anderen Router-basierten Paketmanager zu verwenden. oder vielleicht findest du einfach einen mips / arms-kompilierten tcpdump (im internet) und legst ihn in dein routerverzeichnis oder in dein temporäres dateisystem.
Valerio
0

Mit einem Router oder Switch für Unternehmen können Sie einen Port spiegeln und dazu ein Paketaufzeichnungsprogramm wie Wireshark oder Netmon verwenden. Mit einem D-Link-Router gibt es wirklich keine Möglichkeit, dies zu tun.

Eine Lösung wäre, einen Netzwerk-Hub (nicht einen Switch, sondern einen Hub) zu erhalten und in Ihrem internen Netzwerk zu platzieren. Stecken Sie dann den Uplink vom Hub in einen Port Ihres Routers. Sie haben jetzt eine Situation geschaffen, in der der gesamte Datenverkehr in und aus Ihrem Netzwerk alle Netzwerkkarten Ihres Computers betrifft, da Sie einen Hub verwenden. In diesem Fall können Sie Wireshark oder Netmon im Promiscuous-Modus ausführen und den gesamten Datenverkehr erfassen. Das Schreiben eines Filters zum Isolieren des Datenverkehrs zu / von einer bestimmten IP ist trivial.

MDMarra
quelle
1
Möglicherweise können Sie die Mac-Adresstabelle auf dem D-Link-Router so füllen, dass sie zu einem Hub wird, und den ganzen Mist gedankenlos auf jeden Port übertragen.
Tom O'Connor
0

Sofern die Pakete nicht vom Router selbst stammen (möglich, aber unwahrscheinlich), sollten sie von einem der angeschlossenen Computer stammen. In diesem Fall können Sie einen Paket-Sniffer verwenden . SmartSniff ist äußerst benutzerfreundlich und kann so konfiguriert werden, dass nur Verbindungen zu / von einer bestimmten IP, einem bestimmten Port usw. erfasst und / oder angezeigt werden.

Synetech
quelle