6
Lvl2 - Bridge unter Windows 7 mit 2 Netzwerkkarten möglich (Sniffen)?
Hallo,
zum Testen möchte ich einen PC mit Windows 7 (oder 8) einschleifen, der den Netzwerkverkehr monitort. Windows 7/8 kann ja 2 Netzwerkkarten bridgen, diese Bridge bekommt dann aber auch eine eigene IP und agiert wohl auf Level 3.
Ich möchte jetzt quasi wie ein Hub eine Level 2 Software-Bridge mit Windows erstellen. Welche Möglichkeiten habe ich? Die Bridge selber sollte nur den Verkehr weiterleiten und man kann quasi auf ihr lauschen. Sie sollte nicht vom Switch erkannt werden, also nicht pollen etc.
Welche Möglichkeiten habe ich?
Grüße
zum Testen möchte ich einen PC mit Windows 7 (oder 8) einschleifen, der den Netzwerkverkehr monitort. Windows 7/8 kann ja 2 Netzwerkkarten bridgen, diese Bridge bekommt dann aber auch eine eigene IP und agiert wohl auf Level 3.
Ich möchte jetzt quasi wie ein Hub eine Level 2 Software-Bridge mit Windows erstellen. Welche Möglichkeiten habe ich? Die Bridge selber sollte nur den Verkehr weiterleiten und man kann quasi auf ihr lauschen. Sie sollte nicht vom Switch erkannt werden, also nicht pollen etc.
Welche Möglichkeiten habe ich?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 235177
Url: https://administrator.de/contentid/235177
Printed on: April 24, 2024 at 07:04 o'clock
6 Comments
Latest comment
Moin,
Nein, das geht eigentlich nicht. Die Bridge leitet den Verkehr zwar 1:1 durch, allerdings ist sie eben auch ein Port (wie ein hub, den du an deinen Switch klemmst und damit die Daten auf mehrere Systeme verteilst.) Der PC sperrt sich nicht selbst aus und wird deswegen auch die Daten verwalten. Aber, natürlich kannst du hier sniffen. Einfach Wireshark und die entsprechenden Treiber und los geht's. Verhindern, dass du eine IP bekommst, könntest du vielleicht, indem du das IPv4Protokoll auf der Bridge abschaltest, aber deine Macadresse wir dennoch auftauchen. müsstest du testen, habe ich so noch nie verwendet, könnte aber klappen.
Gruß
Chris
Nein, das geht eigentlich nicht. Die Bridge leitet den Verkehr zwar 1:1 durch, allerdings ist sie eben auch ein Port (wie ein hub, den du an deinen Switch klemmst und damit die Daten auf mehrere Systeme verteilst.) Der PC sperrt sich nicht selbst aus und wird deswegen auch die Daten verwalten. Aber, natürlich kannst du hier sniffen. Einfach Wireshark und die entsprechenden Treiber und los geht's. Verhindern, dass du eine IP bekommst, könntest du vielleicht, indem du das IPv4Protokoll auf der Bridge abschaltest, aber deine Macadresse wir dennoch auftauchen. müsstest du testen, habe ich so noch nie verwendet, könnte aber klappen.
Gruß
Chris
Hallo Chris,
danke für die Antwort. Dass ich sniffen kann, hab ich schon bemerkt, auch aber das nicht alle Packete ankommen. Sinn ist Authentifizierungspakete bzw. LLDP PAkete mitzuschneiden. Diese werden zwischen Endgerät und Switch ausgetauscht, der Laptop mit Software-Bridge hängt dazwischen.
Ich hab nun mitbekommen, dass meine Windows-Bridge diese Pakete einfach verwirft, anstatt sie weiterzuleiten. Dies widerspricht ja der Bridgedefinition, außer es ist halt "nur" ein Switch anstatt Bridge...vielleicht hau ich das aber auch durcheinander...
danke für die Antwort. Dass ich sniffen kann, hab ich schon bemerkt, auch aber das nicht alle Packete ankommen. Sinn ist Authentifizierungspakete bzw. LLDP PAkete mitzuschneiden. Diese werden zwischen Endgerät und Switch ausgetauscht, der Laptop mit Software-Bridge hängt dazwischen.
Ich hab nun mitbekommen, dass meine Windows-Bridge diese Pakete einfach verwirft, anstatt sie weiterzuleiten. Dies widerspricht ja der Bridgedefinition, außer es ist halt "nur" ein Switch anstatt Bridge...vielleicht hau ich das aber auch durcheinander...
Mit einem richtigen Betriebssystem ist das im Handumdrehen aufgesetzt:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Besser also du bootest auf deinem Winblows Rechner ein Live Linux wie Knoppix oder besser noch ein spezielles Live Linux zur Netzwerkanalyse wie KALI Linux von CD oder USB Stick:
http://www.kali.org
Dort ist der Wireshark schon gleich an Bord und diverse andere Analyse Tools auch. Die Bridge ist dann mit 3 Mausklicks eingerichtet und du musst deinen Winblows Rechner nicht befummeln dafür.
ISO Image mit dem Win32diskimager auf den Stick schreiben, booten davon, fertig.... http://sourceforge.net/projects/win32diskimager/
Einfacher gehts nun nicht...
Falls du eine Permanten Lösung willst nimmst du ganz einfach einen Raspberry Pi mit einem 2ten USB Ethernet Adapter und setzt das obige um.
Damit hast du eine Wireshark Probe für die Hosentasche die sich remote überall installieren lässt.
Mit einem VNC Viewer kannst du dann von remote problemlos darauf zugreifen und beobachten was im Netz so los ist !
Wie es geht steht hier:
Netzwerk Management Server mit Raspberry Pi
Die Einfachstlösung für Dummies ist ein alten Ethernet Switch/Hub bei eBay zu ersteigern wie z.B. die alten netGears. Dort steckst du deine Datenleitung und den Sniffer auf und misst fröhlich.
Gute managebare Switches haben heute allesamt einen Mirrorport wo man das Bridging nicht benötigt.
Hast du natürlich einen billigen Taiwan oder China Dummswitch fällt das natürlich logischerweise flach und dann musst du auf die obigen Optionen zurückgreifen die ja auch schnell zum Fliegen zu bringen sind
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Besser also du bootest auf deinem Winblows Rechner ein Live Linux wie Knoppix oder besser noch ein spezielles Live Linux zur Netzwerkanalyse wie KALI Linux von CD oder USB Stick:
http://www.kali.org
Dort ist der Wireshark schon gleich an Bord und diverse andere Analyse Tools auch. Die Bridge ist dann mit 3 Mausklicks eingerichtet und du musst deinen Winblows Rechner nicht befummeln dafür.
ISO Image mit dem Win32diskimager auf den Stick schreiben, booten davon, fertig.... http://sourceforge.net/projects/win32diskimager/
Einfacher gehts nun nicht...
Falls du eine Permanten Lösung willst nimmst du ganz einfach einen Raspberry Pi mit einem 2ten USB Ethernet Adapter und setzt das obige um.
Damit hast du eine Wireshark Probe für die Hosentasche die sich remote überall installieren lässt.
Mit einem VNC Viewer kannst du dann von remote problemlos darauf zugreifen und beobachten was im Netz so los ist !
Wie es geht steht hier:
Netzwerk Management Server mit Raspberry Pi
Die Einfachstlösung für Dummies ist ein alten Ethernet Switch/Hub bei eBay zu ersteigern wie z.B. die alten netGears. Dort steckst du deine Datenleitung und den Sniffer auf und misst fröhlich.
Gute managebare Switches haben heute allesamt einen Mirrorport wo man das Bridging nicht benötigt.
Hast du natürlich einen billigen Taiwan oder China Dummswitch fällt das natürlich logischerweise flach und dann musst du auf die obigen Optionen zurückgreifen die ja auch schnell zum Fliegen zu bringen sind
Hallo aqui,
danke für die rasche Antwort....das es Richtung Linux geht, hatte ich mir schon gedacht....würde das auch in einer VM funktionieren?
Zum Mirroren nutze ich bisher auch einen Hub, was aber ziemlich fummelig ist und vor allem lässt er auch Traffic zu vom Monitoring Port. Das ist ein Nogo, wenn man Authentifizierungspakete monitoren will....da macht dann evtl. schon der Switch den Port zu, weil er andere Pakete sieht ;).
Ansonsten habe ich mir gerade eine passiven TAP gebastelt...der kann auch nur 100 Mbit, aber dafür wird auch garantiert kein Traffic vom PC eingespeist.
Grüße blacki
danke für die rasche Antwort....das es Richtung Linux geht, hatte ich mir schon gedacht....würde das auch in einer VM funktionieren?
Zum Mirroren nutze ich bisher auch einen Hub, was aber ziemlich fummelig ist und vor allem lässt er auch Traffic zu vom Monitoring Port. Das ist ein Nogo, wenn man Authentifizierungspakete monitoren will....da macht dann evtl. schon der Switch den Port zu, weil er andere Pakete sieht ;).
Ansonsten habe ich mir gerade eine passiven TAP gebastelt...der kann auch nur 100 Mbit, aber dafür wird auch garantiert kein Traffic vom PC eingespeist.
Grüße blacki
würde das auch in einer VM funktionieren?
Ja, natürlich. Funktional ist da keinerlei Unterschied.OK, auf einem 1.x gesicherten Port nützt einem der Monitoring Port dann nix, da hast du recht. Da misst du zwangsweise mit einer Probe arbeiten.
Was du mit der Aussage "und vor allem lässt er auch Traffic zu vom Monitoring Port." genau meinst ist unverständlich, denn vom Monitoring Port kann ja nur Traffic kommen der von dem zu monitorenden Port geforwardet wird, es also auch gewollt ist diesen Traffic zu sehen ?!
Abgesehen davon braucht man an einem Monitor Port keinerlei Hub oder Tap/Probe sondern kann dort den Sniffer ja direkt aufstecken ohne diese Klimmzüge.
Einen Tap/Probe/Hub brauchst du nur wenn du keinerlei Monitoring Ports hast wie an einem nicht managebaren Dummswitch oder wenn du VOR einem mit z.B. .1x gesicherten Port messen willst. Sonst ja nicht...
Was meinst du also damit ? Und...WIE bastelt man denn einen passiven Tap ?? Lötkolben und 2 Kabel zusammenlöten ?? Das wär ja mal spannend...
Hallo aqui,
ich glaube Monitoring hab ich hier falsch gebraucht. Dies ist beim Kunden ja draussen selten benutzbar, weil da quasi das Endgerät direkt an nem Switch hängt und ich keinen Zugriff habe.
Was ich meinte war der Hub. Schliess ich den mit an und meinen PC, kommt zwangsläufig Traffic von meiner Ethernetkarte drauf. Wäre schön, wenn man die Netzwerkkarte in eine Art "Monitoring Mode" unter Windows schalten könnte, wo sie nur lauscht.
Einen passiven Tap (bis 100 Mbit) bastelt man recht leicht mit 2 Netzwerkkabel. In meinem Fall hat ich eine EIA/TIA 568B codiertes Kabel...grün bzw weiß/grün ist RX und orage bzw. orange/weiß war TX. Dies ist wichtig, da man für das horchende Kabel (Tap) nur die empfangenden Adern braucht. Auf dem verbindenden Kabel (Host) greift man einmal die TX und einmal die RX Ader ab.
- Kabel 1 schneidet man entzwei, Kabel 2 isoliert man 5 cm ab und legt die RX/TX Kabel blank (grün/orange kabel)
- Nun von beiden Enden von Kabel 1 die RX-Fasern suchen und abisolieren
- Nun quasi RX Adern vom ersten Ende von Tap-Kabel 1 auf RX Adern vom Host-Kabel 2 verbinden (drehen, löten, klemmen)
- Dann die RX Adern vom zweiten Ende von Tap-Kabel 1 auf TX Adern vom Host- Kabel 2 verbinden
- Hierbei verbindet man immer die volle Farbe (grün/grün, grün/orange) und die "halben" Farben (grün/weiß / grün/weiß // grün/weiß / orange /weiß)
Wie du siehst braucht man 2 Netzwerkkarte zum Sniffen (eine Senden / eine Empfangen), ist aber quasi absolut passiv. PS: Die anderen Adern auf dem Hostkabel kannst du trennen, damit nicht "ausversehen" Giggabit vereinbart wird und dann ist nix mehr mit lesen. Leider scheint bei Autonegotiation die Karten dann in 100 Mbit Half-Duplex zu gehen....also für den Dauerbetrieb ist der Sniffer nix, aber zum Abgreifen super....
Leider hab ich nun wieder das doofe Problem, dass Windows anscheinend nicht immer für jede Netzwerkkarte den Promiscious Modus nutzt. Benutze USB Netzwerkkarten und machmal klapps, manchmal nicht. Auch VLAN wird ja erst mit Tricks angezeigt. Bin aber leider Windows-Fan :P
Frage: Linux in der VM mit Windows als Host (Hyper-V). geht dann promiscious mode etc? Weil der Treiber für die Netzwerkkarte für die Gastmaschine wird ja vom Windows bereitgestellt oder? Oder muss ich da "Legacy nutzen"....
Grüße blacki
Ok, hab jetzt keine Fingerkuppen mehr, weil sich die kleinen Netzwerkadern so schlecht abisolieren lassen, aber erläuft.
ich glaube Monitoring hab ich hier falsch gebraucht. Dies ist beim Kunden ja draussen selten benutzbar, weil da quasi das Endgerät direkt an nem Switch hängt und ich keinen Zugriff habe.
Was ich meinte war der Hub. Schliess ich den mit an und meinen PC, kommt zwangsläufig Traffic von meiner Ethernetkarte drauf. Wäre schön, wenn man die Netzwerkkarte in eine Art "Monitoring Mode" unter Windows schalten könnte, wo sie nur lauscht.
Einen passiven Tap (bis 100 Mbit) bastelt man recht leicht mit 2 Netzwerkkabel. In meinem Fall hat ich eine EIA/TIA 568B codiertes Kabel...grün bzw weiß/grün ist RX und orage bzw. orange/weiß war TX. Dies ist wichtig, da man für das horchende Kabel (Tap) nur die empfangenden Adern braucht. Auf dem verbindenden Kabel (Host) greift man einmal die TX und einmal die RX Ader ab.
- Kabel 1 schneidet man entzwei, Kabel 2 isoliert man 5 cm ab und legt die RX/TX Kabel blank (grün/orange kabel)
- Nun von beiden Enden von Kabel 1 die RX-Fasern suchen und abisolieren
- Nun quasi RX Adern vom ersten Ende von Tap-Kabel 1 auf RX Adern vom Host-Kabel 2 verbinden (drehen, löten, klemmen)
- Dann die RX Adern vom zweiten Ende von Tap-Kabel 1 auf TX Adern vom Host- Kabel 2 verbinden
- Hierbei verbindet man immer die volle Farbe (grün/grün, grün/orange) und die "halben" Farben (grün/weiß / grün/weiß // grün/weiß / orange /weiß)
Wie du siehst braucht man 2 Netzwerkkarte zum Sniffen (eine Senden / eine Empfangen), ist aber quasi absolut passiv. PS: Die anderen Adern auf dem Hostkabel kannst du trennen, damit nicht "ausversehen" Giggabit vereinbart wird und dann ist nix mehr mit lesen. Leider scheint bei Autonegotiation die Karten dann in 100 Mbit Half-Duplex zu gehen....also für den Dauerbetrieb ist der Sniffer nix, aber zum Abgreifen super....
Leider hab ich nun wieder das doofe Problem, dass Windows anscheinend nicht immer für jede Netzwerkkarte den Promiscious Modus nutzt. Benutze USB Netzwerkkarten und machmal klapps, manchmal nicht. Auch VLAN wird ja erst mit Tricks angezeigt. Bin aber leider Windows-Fan :P
Frage: Linux in der VM mit Windows als Host (Hyper-V). geht dann promiscious mode etc? Weil der Treiber für die Netzwerkkarte für die Gastmaschine wird ja vom Windows bereitgestellt oder? Oder muss ich da "Legacy nutzen"....
Grüße blacki
Ok, hab jetzt keine Fingerkuppen mehr, weil sich die kleinen Netzwerkadern so schlecht abisolieren lassen, aber erläuft.
