Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lvl2 - Bridge unter Windows 7 mit 2 Netzwerkkarten möglich (Sniffen)?

Frage Microsoft Windows Netzwerk

Mitglied: black8900

black8900 (Level 1) - Jetzt verbinden

10.04.2014, aktualisiert 15:55 Uhr, 2650 Aufrufe, 6 Kommentare

Hallo,

zum Testen möchte ich einen PC mit Windows 7 (oder 8) einschleifen, der den Netzwerkverkehr monitort. Windows 7/8 kann ja 2 Netzwerkkarten bridgen, diese Bridge bekommt dann aber auch eine eigene IP und agiert wohl auf Level 3.

Ich möchte jetzt quasi wie ein Hub eine Level 2 Software-Bridge mit Windows erstellen. Welche Möglichkeiten habe ich? Die Bridge selber sollte nur den Verkehr weiterleiten und man kann quasi auf ihr lauschen. Sie sollte nicht vom Switch erkannt werden, also nicht pollen etc.

Welche Möglichkeiten habe ich?

Grüße
Mitglied: Sheogorath
10.04.2014 um 17:56 Uhr
Moin,

Nein, das geht eigentlich nicht. Die Bridge leitet den Verkehr zwar 1:1 durch, allerdings ist sie eben auch ein Port (wie ein hub, den du an deinen Switch klemmst und damit die Daten auf mehrere Systeme verteilst.) Der PC sperrt sich nicht selbst aus und wird deswegen auch die Daten verwalten. Aber, natürlich kannst du hier sniffen. Einfach Wireshark und die entsprechenden Treiber und los geht's. Verhindern, dass du eine IP bekommst, könntest du vielleicht, indem du das IPv4Protokoll auf der Bridge abschaltest, aber deine Macadresse wir dennoch auftauchen. müsstest du testen, habe ich so noch nie verwendet, könnte aber klappen.

Gruß
Chris
Bitte warten ..
Mitglied: black8900
10.04.2014 um 18:22 Uhr
Hallo Chris,

danke für die Antwort. Dass ich sniffen kann, hab ich schon bemerkt, auch aber das nicht alle Packete ankommen. Sinn ist Authentifizierungspakete bzw. LLDP PAkete mitzuschneiden. Diese werden zwischen Endgerät und Switch ausgetauscht, der Laptop mit Software-Bridge hängt dazwischen.

Ich hab nun mitbekommen, dass meine Windows-Bridge diese Pakete einfach verwirft, anstatt sie weiterzuleiten. Dies widerspricht ja der Bridgedefinition, außer es ist halt "nur" ein Switch anstatt Bridge...vielleicht hau ich das aber auch durcheinander...
Bitte warten ..
Mitglied: aqui
10.04.2014, aktualisiert um 18:43 Uhr
Mit einem richtigen Betriebssystem ist das im Handumdrehen aufgesetzt:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...

Besser also du bootest auf deinem Winblows Rechner ein Live Linux wie Knoppix oder besser noch ein spezielles Live Linux zur Netzwerkanalyse wie KALI Linux von CD oder USB Stick:
http://www.kali.org
Dort ist der Wireshark schon gleich an Bord und diverse andere Analyse Tools auch. Die Bridge ist dann mit 3 Mausklicks eingerichtet und du musst deinen Winblows Rechner nicht befummeln dafür.
ISO Image mit dem Win32diskimager auf den Stick schreiben, booten davon, fertig.... http://sourceforge.net/projects/win32diskimager/
Einfacher gehts nun nicht...

Falls du eine Permanten Lösung willst nimmst du ganz einfach einen Raspberry Pi mit einem 2ten USB Ethernet Adapter und setzt das obige um.
Damit hast du eine Wireshark Probe für die Hosentasche die sich remote überall installieren lässt.
Mit einem VNC Viewer kannst du dann von remote problemlos darauf zugreifen und beobachten was im Netz so los ist !
Wie es geht steht hier:
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...

Die Einfachstlösung für Dummies ist ein alten Ethernet Switch/Hub bei eBay zu ersteigern wie z.B. die alten netGears. Dort steckst du deine Datenleitung und den Sniffer auf und misst fröhlich.
Gute managebare Switches haben heute allesamt einen Mirrorport wo man das Bridging nicht benötigt.
Hast du natürlich einen billigen Taiwan oder China Dummswitch fällt das natürlich logischerweise flach und dann musst du auf die obigen Optionen zurückgreifen die ja auch schnell zum Fliegen zu bringen sind
Bitte warten ..
Mitglied: black8900
10.04.2014 um 19:04 Uhr
Hallo aqui,

danke für die rasche Antwort....das es Richtung Linux geht, hatte ich mir schon gedacht....würde das auch in einer VM funktionieren?

Zum Mirroren nutze ich bisher auch einen Hub, was aber ziemlich fummelig ist und vor allem lässt er auch Traffic zu vom Monitoring Port. Das ist ein Nogo, wenn man Authentifizierungspakete monitoren will....da macht dann evtl. schon der Switch den Port zu, weil er andere Pakete sieht ;).

Ansonsten habe ich mir gerade eine passiven TAP gebastelt...der kann auch nur 100 Mbit, aber dafür wird auch garantiert kein Traffic vom PC eingespeist.

Grüße blacki
Bitte warten ..
Mitglied: aqui
10.04.2014 um 20:29 Uhr
würde das auch in einer VM funktionieren?
Ja, natürlich. Funktional ist da keinerlei Unterschied.
OK, auf einem 1.x gesicherten Port nützt einem der Monitoring Port dann nix, da hast du recht. Da misst du zwangsweise mit einer Probe arbeiten.
Was du mit der Aussage "und vor allem lässt er auch Traffic zu vom Monitoring Port." genau meinst ist unverständlich, denn vom Monitoring Port kann ja nur Traffic kommen der von dem zu monitorenden Port geforwardet wird, es also auch gewollt ist diesen Traffic zu sehen ?!
Abgesehen davon braucht man an einem Monitor Port keinerlei Hub oder Tap/Probe sondern kann dort den Sniffer ja direkt aufstecken ohne diese Klimmzüge.
Einen Tap/Probe/Hub brauchst du nur wenn du keinerlei Monitoring Ports hast wie an einem nicht managebaren Dummswitch oder wenn du VOR einem mit z.B. .1x gesicherten Port messen willst. Sonst ja nicht...
Was meinst du also damit ? Und...WIE bastelt man denn einen passiven Tap ?? Lötkolben und 2 Kabel zusammenlöten ?? Das wär ja mal spannend...
Bitte warten ..
Mitglied: black8900
10.04.2014, aktualisiert um 20:58 Uhr
Hallo aqui,

ich glaube Monitoring hab ich hier falsch gebraucht. Dies ist beim Kunden ja draussen selten benutzbar, weil da quasi das Endgerät direkt an nem Switch hängt und ich keinen Zugriff habe.

Was ich meinte war der Hub. Schliess ich den mit an und meinen PC, kommt zwangsläufig Traffic von meiner Ethernetkarte drauf. Wäre schön, wenn man die Netzwerkkarte in eine Art "Monitoring Mode" unter Windows schalten könnte, wo sie nur lauscht.

Einen passiven Tap (bis 100 Mbit) bastelt man recht leicht mit 2 Netzwerkkabel. In meinem Fall hat ich eine EIA/TIA 568B codiertes Kabel...grün bzw weiß/grün ist RX und orage bzw. orange/weiß war TX. Dies ist wichtig, da man für das horchende Kabel (Tap) nur die empfangenden Adern braucht. Auf dem verbindenden Kabel (Host) greift man einmal die TX und einmal die RX Ader ab.

- Kabel 1 schneidet man entzwei, Kabel 2 isoliert man 5 cm ab und legt die RX/TX Kabel blank (grün/orange kabel)
- Nun von beiden Enden von Kabel 1 die RX-Fasern suchen und abisolieren
- Nun quasi RX Adern vom ersten Ende von Tap-Kabel 1 auf RX Adern vom Host-Kabel 2 verbinden (drehen, löten, klemmen)
- Dann die RX Adern vom zweiten Ende von Tap-Kabel 1 auf TX Adern vom Host- Kabel 2 verbinden
- Hierbei verbindet man immer die volle Farbe (grün/grün, grün/orange) und die "halben" Farben (grün/weiß / grün/weiß // grün/weiß / orange /weiß)

Wie du siehst braucht man 2 Netzwerkkarte zum Sniffen (eine Senden / eine Empfangen), ist aber quasi absolut passiv. PS: Die anderen Adern auf dem Hostkabel kannst du trennen, damit nicht "ausversehen" Giggabit vereinbart wird und dann ist nix mehr mit lesen. Leider scheint bei Autonegotiation die Karten dann in 100 Mbit Half-Duplex zu gehen....also für den Dauerbetrieb ist der Sniffer nix, aber zum Abgreifen super....

Leider hab ich nun wieder das doofe Problem, dass Windows anscheinend nicht immer für jede Netzwerkkarte den Promiscious Modus nutzt. Benutze USB Netzwerkkarten und machmal klapps, manchmal nicht. Auch VLAN wird ja erst mit Tricks angezeigt. Bin aber leider Windows-Fan :P

Frage: Linux in der VM mit Windows als Host (Hyper-V). geht dann promiscious mode etc? Weil der Treiber für die Netzwerkkarte für die Gastmaschine wird ja vom Windows bereitgestellt oder? Oder muss ich da "Legacy nutzen"....

Grüße blacki







Ok, hab jetzt keine Fingerkuppen mehr, weil sich die kleinen Netzwerkadern so schlecht abisolieren lassen, aber erläuft.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows 10
Windows 10 Aktivierung nicht möglich (7)

Frage von Wh0AmI zum Thema Windows 10 ...

Windows Server
Anmeldung an neuen Windows Domäne Client nicht möglich (16)

Frage von FlorianN zum Thema Windows Server ...

Windows 10
Windows 10 Upgrade weiterhin möglich - Die Zweite (12)

Link von ashnod zum Thema Windows 10 ...

Windows Installation
Windows 7 Installation nicht möglich (8)

Frage von Jabberwocky86 zum Thema Windows Installation ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...