een snifbox maken

Wanneer we ethernet verkeer willen sniffen is dat kwestie van een sniffer installeren alsmede een capture driver om de ethernet kaart in promiscious mode te zetten. Dat laatste zorgt ervoor dat alle verkeer de sniffer bereikt en niet alleen het verkeer dat iets op de pc te zoeken heeft (broadcast, multicast en unicast van en naar de pc).

Willen we tussen een bestaande verbinding sniffen dan wordt er een hub tussen geplaatst met de snif-pc erop.

Maar wat als we een full duplex verbinding willen sniffen tussen een server en een switch bijvoorbeeld? De switch en de pc moeten dan op half duplex gezet worden en dat is soms ongewenst.

De oplossing is dan, behalve het aanschaffen van een dure snif oplossing, het maken van een snifbox.

Een snifbox kan gemaakt worden met een dual-speed hub. Deze werkt als hub voor de aangesloten 10 mbit apparaten en voor de 100 mbit apparaten maar switched het verkeer hiertussen niet. Het werkt dus eigenlijk als twee hubs, ��n voor de 10 mbit apparaten en ��n voor de 100 mbit apparaten.

Nu maken we twee utp chassis delen ��n op ��n aan elkaar en maken een aftakking van beide paren naar twee utp connectoren waarbij we per connector alleen het ontvangende paar (oranje, 1-2) gebruiken. Die stoppen we in twee poorten van de hub. De hub ziet signaal en ziet een link.

Op een derde poort zetten we de pc met de sniffer. Hiervan hebben we alleen het ontvangende paar (3,6 op de pc) nodig maar helaas moet deze wel volledig aangesloten worden anders ziet de hub geen link en geeft geen data door. De hub ziet de optelsom van het verkeer op de beide luisterende poorten en geeft dat door aan de sniffende pc. De pc ziet dus het totale verkeer op de full duplex verbinding maar er kan geen verkeer naar deze verbinding toe waardoor deze full duplex kan blijven.

De sniffende pc zal ook zijn eigen verkeer zien wat we niet willen dus in de capture filter zal de eigen host uitgefilterd moeten worden.

Op deze manier is al het verkeer van een full duplex verbinding te bekijken zonder deze 'te storen'.

Denk er wel aan bij een 10 mbit verbinding de sniffende pc vast op 10 mbit te zetten. Autosensing gaat wel goed bij 100 maar de pc zal dan niet op 10 mbit gaan staan bij een dual speed hub.




Geef hieronder uw commentaar, mening of aanvullingen op deze pagina en lees de eventuele meldingen van andere lezers.

naam:
email:
spamcheck: 1999+1=...
opmerking:
   











Website door Wouter Barendsen, 2005-2016