Netzwerkmonitoring: Das Problem mit den Switches...

[te one]

Hallo,

ich möchte in nächster Zeit etwas meinen Netzwerkverkehr zu Hause analysieren und durchgucken.
Jetzt habe ich natürlich einen Switch im Einsatz und möchte das aber mit einem zusätzlichen Gerät (Notebook) mitschneiden. IP-Pakete kommen bei Switches aber natürlich nur an den passenden Ports an.
1. Gibt es im niedrigen Preissegment auch Switches die soetwas wie einen Monitoring Port unterstützen (ein Port der alle Pakete bekommt) bzw. einen Hub-Modus haben
2. Bekommt man irgendwo noch gute alte Hubs mit denen das ja kein Problem ist? (Habe sowieso nur ein 100MBit/s-Netz)

So gut Switches auch sind, manchmal stören sie...

Gruß

 

[LinuxMcBook]

Unmoralisches Vorhaben erkannt.

 

[disk31p]

Sinnlosen Kommentar über mir erkannt...

Mit der Software Wireshark sollte sich alles auslesen lassen was Du benötigst ob mit oder ohne switch.

 

[Fritzler]

@disk31p: Macuser eben


So ziemlich jeder smart managed switch hat sowas.
Also nen passenden günstigen für dich raussuchen und in die Bedienungsanleitung gucken.

 

[LinuxMcBook]

@disk31p: Macuser eben

Wo steht da was von Mac?
Bin so ziemlich genau das Gegenteil...

 

[rossi2k6]

Hi,

falls es sich "nur" um den Internettraffic handeln sollte, klemm doch nen alten Hub einach zwischen Switch und Router, dürfte dann auch 10Mbit sein, aber es kommt auf deine Internetanbindung an ;-)

Ansonsten versuchs mal hiermit: Netgear GS108E

Grüße
Julian

 

[Mister-X]

ich möchte in nächster Zeit etwas meinen Netzwerkverkehr zu Hause analysieren und durchgucken.

Mit welchem Hintergrund willst du das tun... für jede Anforderung gibt es entsprechende Lösungen... einfach alles zu Analysieren und das über einen längeren zeitraum wirst du wahrlich nur schwer gestalten können bzw. erschließt sich der sinn daraus nicht.

Zudem die Info... nutzt noch eine andere person(en) dein Netzwerk muss JEDE dieser Personen benachrichtigt werden und dem zustimmen. Ansonsten machst du dich dann schon direkt strafbar.

Jetzt habe ich natürlich einen Switch im Einsatz und möchte das aber mit einem zusätzlichen Gerät (Notebook) mitschneiden.

Wie schon gesagt gibt es viele mögliche Lösungsansätze für das Problem.

IP-Pakete kommen bei Switches aber natürlich nur an den passenden Ports an.

Auch dafür gibt es Lösungen... aber ergeben die auch sinn... man kann ein switch auch überreden bzw. zwingen das nicht mehr zu tun und auf die basis eines Hubs zwingen.

1. Gibt es im niedrigen Preissegment auch Switches die soetwas wie einen Monitoring Port unterstützen (ein Port der alle Pakete bekommt) bzw. einen Hub-Modus haben.

Sie oben.... gibt natürlich auch kostenpflichtige möglichkeiten... aber nochmal... ohne anforderung = schwer zu helfen.

2. Bekommt man irgendwo noch gute alte Hubs mit denen das ja kein Problem ist? (Habe sowieso nur ein 100MBit/s-Netz)

ebay oder sonst wo versuchen... und vor allem mal damit beschäftigen wo der unterschied und die vorteile liegen.... denn die aussage "ich hab eh nur 100M/bit" deutet irgendiwe darauf hin das du den sinn von switches nicht vollends verstanden hast.
Dein netzwerk wird auf JEDEN fall langsamer bei mehreren genutzten Geräten wenn du das switch gegen ein Hub tauschst.

So gut Switches auch sind, manchmal stören sie...

Nöö...

Gruß

Gruß Zurück


Wie gesagt... bissel genauer erklären was du vor hast und warum vor allem... so kann man ausschließen das man dich bei dingen unterstützt die kriminell sind und vor allem viel Detailierter oder zielgerichteter auf dein Problem eingehen... denn Lösungen gibt es einige.


@disk31p: okay.... PC1 an Port 1 PC2 an Port 2 und PC3 an Port3... wenn du mit PC1 die kommunikation von PC2 und PC3 mitschneiden willst wirst du mit Wireshark alleine NICHTS erreichen, du hast ja schließlich kein Hub.

 

[te one]

Also ich versuche mal alle Rückfragen so gut es geht zu beantworten.

Ich habe nichts unmoralisches vor. Es geht mir nur darum den Traffic innerhalb meines LANs zu sehen. Effektiv geht es darum den Traffic meines Rechners auf meinem Notebook zu sehen. (Stichwort: Port Mirroring)

@disk31p: Durch das Selective Forwarding eines Switches kommen Frames, die an den Rechner addressiert sind aber garnicht am Notebook an...

@Fritzler: Also wenn es da im low-cost-Bereich etwas gibt werde ich mich da mal genauer umschauen.

So und nun zu dir, Mister-X
Wie gesagt geht es hierbei nur um meinen eigenen Rechner.
Ich schaue beruflich auch ab und an mal mit einem Sniffer in recht große Netze. Ich dürfte also mit dem Traffic bzw. der Auswertung der Informationen die ich sehen möchte bei einem einzelnen Gerät zurechtkommen.
Eine Möglichkeit die mir jetzt so einfallen würde, wäre das flooden der Mac-Table des Switches. Ist aber nicht gerade elegant...Der arme kleine verglüht am Ende noch...
Wobei das fast mal ein kleines Projekt wäre ein Switch-Flooding-Tool zu schreiben.
Den Unterschied zwischen Hub&Switch kenne ich durchaus. Hinter meinem Switch muss das ganze aber sowieso über Powerline erstmal weiter und ich denke mal, dass sich da keine großen Unterschiede im Switch/Hub-Betrieb bemerkbar machen werden (Duplex bzw. gleichzeitiges Senden verschiedener Workstations etc. stell ich jetzt einfach mal so als Begriffe in den Raum)
Also wenn ich an das Sniffen in Netzwerken denke, wo mehrere Switches an unterschiedlichen Orten im Einsatz sind und hintereinander hängen bringt mir selbst das Port Mirroring nicht viel (wenn ich nicht immerzu hin-und-her-wackeln will und womöglich von einer zentralen Stelle aus mehrere Geräte beobachten möchte). Wenn du dafür aber eine gute Lösung hast wäre ich durchaus interessiert. Hatte es letztin erst mit einem Kollegen über dieses Thema und habe das ganze dann auf OSI-Schicht 2 mal durchsimuliert und wir sind zu keinem guten Ergebnis gekommen.
Natürlich überwiegen die Vorteile, das möchte ich ja garnicht anzweifeln.

Achja am Ende haste das mitm Selective Forwarding ja schon beschrieben

Werde mich mal umschauen was es im Gigabit-Bereich mit Port-Mirroring so alles gibt (soll natürlich wie immer am besten nix kosten). Hab zurzeit nen alten, gebrauchten Linksys/Cisco mit 16 Ports im Einsatz. Falschenhals ist leider Powerline wodrüber es dann weiter zur Fritzbox geht...
Also ihr dürft mir ruhig Ratschläge geben, hab nix böses vor

Gruß

 

[Masamune2]

Das Stichwort ist ARP Poisoning. Geht z.B. mit Cain sehr einfach.

Wenn du das in großen Netzen schon machst müsstest du doch wissen wie es geht....

 

[te one]

hm, stimmt auf falsche ARP-Einträge bin ich noch garnicht gekommen^^
Werde das die nächsten Tage mal ausprobieren

(So oft kommt das nicht vor und wenn dann nutze ich da idR eben einen Mirror-Port...)

 

[Fr4g3r]

Hi,

wenn es dir nur um den Traffic auf eigenen Geräte geht, dann installiere doch ein Remote Capture Interface auf deinem PC. Auf dieses kannst du dann von deinem Laptop aus connecten und den Traffic auswerten.

Whireshark bietet diese Funktion meine ich an.

Gruß
Fr4g3r

 

[te one]

Stimmt, die Funktion hatte ich irgendwann auch schonmal gesehen.
Habe auch gerade nochmal nachgesehen: Das geht wirklich.

Werde trotzdem mal Cain probieren. Kann ja nicht schaden soetwas schonmal gemacht zu haben.

 

[te one]

Habe gerade mal Zeit gefunden das ganze zu testen.

Arp Poisoning funktioniert an sich erstmal einwandfrei (MAC des Notebooks steht dann in der ARP-Table des Rechners)
Habe folgendes probiert:
Änderung der MAC des Standardgateways (192.168.178.1) am Rechner auf die MAC des Notebooks.
Nun ist es aber so, dass ich mit dem Rechner nurnoch ins interne Netz komme (Pakete laufen über das Notebook, das sehe ich)
Pinge ich das Gateway an, funktioniert das auch noch als letzter Hop.

Muss wohl irgendwie am Forwarding der Pakete am Notebook liegen...Hab es mir mit Wireshark noch nicht angeschaut (auch schon weng spät dafür). Kennt einer das Problem?
Muss ich noch sowas wie einen transparent Mode oder sowas einschalten?