我经常发现自己处于不得不窥探例如我正在开发的臂板和networking上另一台计算机之间的连接或者networking之外的连接的位置。
简单的情况是,我可以在计算机上安装一个嗅探器,与embedded式设备交谈。 如果不可能,我现在安装一个旧的10Mb / s集线器。 不过恐怕我的HUB可能会停止工作,我想知道一些替代方法。
以下是我能想到的替代scheme:
更昂贵的交换机将提供端口镜像,在那里他们将镜像一个或多个端口的stream量到一个专门的监视器端口(其中包括像你这样的问题)。
但是我不确定提供什么样的价格类function。
用于嗅探单个设备的快速而又脏的解决scheme是添加第二个NIC,将要嗅探的设备连接到一个NIC(必要时使用交叉电缆),将LAN连接到另一个NIC,然后桥接连接并嗅探桥接口。 既然你不把机器塞进一个很大的交通stream量(大概),你不会真的放慢速度。
您可以在Windows中使用w /内置的桥接function和Wireshark。 Linux会让你做同样的事情。 其他操作系统的里程可能会有所不同 – 我还没有尝试过,但在Windows和Linux上。
有两种方法可以在交换networking中嗅探stream量,而无法访问交换机。 首先是ARP欺骗,您尝试比目标设备更快地响应ARP请求。 这显然取决于你这样做的能力,所以可能会有一点打击和错过。 第二个是溢出交换机的转发表。 每台交换机都有一个MAC地址表,以及从哪个端口看到帧来自哪个端口,因此交换机知道将来帧的发送位置。 如果交换机在转发表中没有目的MAC地址,则将其发送到每个端口。 如果您可以填满转发表,则交换机无法将所有帧发送到每个端口,并且已经有效地将交换机转换为集线器。 不幸的是,更昂贵的交换机有更大的转发表,并可能有每端口转发表,这将不容易受到这种攻击。
你可以在你和目标之间插入一个集线器,如果你能find它的话。 另一种方法是使用两个NIC之间的Linux设备并在它们之间configuration桥接。
如果您有一个由您控制的托pipe交换机,正如其他人所提到的那样,您可以使用端口镜像来获取目标端口上所有内容的副本。
使用ettercap和现场快乐。
请参阅wikipedia获取ARP欺骗function工具的列表
也可以尝试MAC Flooding攻击 ,具体取决于您正在攻击的交换机。 如果交换机暴露在这种攻击之下,它将充当HUB一旦溢出。
您当然可以使用硬件方法(更灵活的恕我直言),一个非常便宜的交换机,如戴尔27xx和28xx系列提供端口镜像function
您也可以考虑构build一个以太网tap,并使用该设备分析stream量。 分stream器的优点是可以分析所有stream量,包括交换机上镜像端口不能复制的错误形成的以太网分组。 这有点复杂:
您需要两个网卡才能使全双工连接正常工作。 但是,您将获得传入和传出设备的networkingstream量的真实表示,这可能对您所做的任何embedded式工作有帮助。
其他人对这个问题有更好的,更技术性的答案,但要回答你的第一个问题:我不是100%肯定的,但这似乎是一个枢纽(愚蠢),而不是交换机(智能中心)。
http://www.amazon.com/Dynex-DX-EHB4-Ethernet-10Base-T-external/dp/tech-data/B000U29M6Q/ref=de_a_smtd
我确定还有更多,如果没有,我会尝试eBay。 我知道我有一些老的中心躺在周围。
Dualcomm的USB供电的5端口以太网交换机应该是满足您的端口镜像function的“硬件configuration”需求的最佳select。 它还支持PoE内联电源传递。 可用的快速以太网(39.95美元)和千兆以太网(119.95美元)型号。 便携式,适用于许多数据包嗅探应用程序。 请访问: http://www.dual-comm.com