11
Netzwerktraffic von Gerät abfangen
Hallo zusammen
Ich habe bei mir folgende Netzwerkkonfiguration (nur ein Auszug der relevanten Geräte):
Die Fritzbox ist der Zugang zum Internet, ebenfalls läuft dort der DHCP-Server. Was ich nun möchte ist, die Daten welche Device 1 und Device 2 ins Internet zu einem Server senden abfangen und auf dem Linux Server zur Verfügung haben. In welcher Form dies geschieht ist relativ egal, ich muss dort dann sowieso noch ein kleines Script programmieren welche die Daten weiterverarbeitet. Device 1 und Device 2 sind Wetterstationen und beziehen ihre Konfiguration per DHCP und können NICHT manuell umkonfiguriert werden.
Was ich mir schon überlegt habe:
- Ich schalte auf dem GS108 das Portmirroring ein und spiegle den Traffic von WPA321 und Device1 an einen freien Port. Dort dran hänge ich einen Raspberry Pi welcher den Traffic filtert und die Pakete der beiden Devices speichert und per Netzwerk an den Linux Server weiterleitet.
Nachteil: Ich brauche zusätzliche Hardware und einen zusätzlichen Port am GS108
- Ich schaffe es irgendwie den Traffic von Device 1 und Device 2 über den Linux Server umzuleiten. Nur wie? Ich könnte den DHCP Server auf der Linux Kiste laufenlassen und dann den beiden Devices andere Gateways zuweisen (falls dies für einzelne Devices überhaupt möglich ist), den Traffic auf dem Server sniffen und dann zur Fritzbox weiterleiten.
Was ich nicht möchte ist den gesamten Internet-Traffic über den Linux-Server laufenzulassen, da dieser für solche Sachen etwas schwach ist.
Gibt es noch andere Ideen oder Möglichkeiten?
Vielen Dank für eure Hilfe!
Ich habe bei mir folgende Netzwerkkonfiguration (nur ein Auszug der relevanten Geräte):
Die Fritzbox ist der Zugang zum Internet, ebenfalls läuft dort der DHCP-Server. Was ich nun möchte ist, die Daten welche Device 1 und Device 2 ins Internet zu einem Server senden abfangen und auf dem Linux Server zur Verfügung haben. In welcher Form dies geschieht ist relativ egal, ich muss dort dann sowieso noch ein kleines Script programmieren welche die Daten weiterverarbeitet. Device 1 und Device 2 sind Wetterstationen und beziehen ihre Konfiguration per DHCP und können NICHT manuell umkonfiguriert werden.
Was ich mir schon überlegt habe:
- Ich schalte auf dem GS108 das Portmirroring ein und spiegle den Traffic von WPA321 und Device1 an einen freien Port. Dort dran hänge ich einen Raspberry Pi welcher den Traffic filtert und die Pakete der beiden Devices speichert und per Netzwerk an den Linux Server weiterleitet.
Nachteil: Ich brauche zusätzliche Hardware und einen zusätzlichen Port am GS108
- Ich schaffe es irgendwie den Traffic von Device 1 und Device 2 über den Linux Server umzuleiten. Nur wie? Ich könnte den DHCP Server auf der Linux Kiste laufenlassen und dann den beiden Devices andere Gateways zuweisen (falls dies für einzelne Devices überhaupt möglich ist), den Traffic auf dem Server sniffen und dann zur Fritzbox weiterleiten.
Was ich nicht möchte ist den gesamten Internet-Traffic über den Linux-Server laufenzulassen, da dieser für solche Sachen etwas schwach ist.
Gibt es noch andere Ideen oder Möglichkeiten?
Vielen Dank für eure Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 334829
Url: https://administrator.de/contentid/334829
Printed on: April 26, 2024 at 13:04 o'clock
11 Comments
Latest comment
Moin,
Muß die Lösung dauerhaft laufen?
Wenn Du nur temporär für Diagnosen sniffen willst, kannst Du die fritzbox sniffen lassen.
Ansonsten freetzen und mit tcpdump und netcat die Dateien auf Deine linux-Kiste schaffen.
lks
Muß die Lösung dauerhaft laufen?
Wenn Du nur temporär für Diagnosen sniffen willst, kannst Du die fritzbox sniffen lassen.
Ansonsten freetzen und mit tcpdump und netcat die Dateien auf Deine linux-Kiste schaffen.
lks
Danke für die Antwort. Ja, die Lösung muss dauerhaft laufen.
An der Fritzbox kann ich keine leider (Firmware) Veränderung vornehmen, die ist nur eine Leihgabe des Internet-Providers.
An der Fritzbox kann ich keine leider (Firmware) Veränderung vornehmen, die ist nur eine Leihgabe des Internet-Providers.
Moin,
du musst halt "irgendwas" dazwischen hängen, quasi einen Man-in-the-Middle Ansatz realisieren, sofern du KEIN Port-Mirroring einrichten willst.
geeignet wären da ein Raspberry Pi mit Wireshark und einer USB-NIC:
http://www.pcwelt.de/ratgeber/Netzwerk-Sniffen-mit-Wireshark-und-dem-Ra ...
könntest aber auch u.U. einen vorhandenen Unix/ Linux-Kandidaten entsprechend einbinden...
Gruß
em-pie
du musst halt "irgendwas" dazwischen hängen, quasi einen Man-in-the-Middle Ansatz realisieren, sofern du KEIN Port-Mirroring einrichten willst.
geeignet wären da ein Raspberry Pi mit Wireshark und einer USB-NIC:
http://www.pcwelt.de/ratgeber/Netzwerk-Sniffen-mit-Wireshark-und-dem-Ra ...
könntest aber auch u.U. einen vorhandenen Unix/ Linux-Kandidaten entsprechend einbinden...
Gruß
em-pie
Hallo,
der SG 300 ist ja ein Managebarer Switch...
pack die beiden Wetterkisten in ein eigens VLAN, und route das zum Linux Server... .
brammer
der SG 300 ist ja ein Managebarer Switch...
pack die beiden Wetterkisten in ein eigens VLAN, und route das zum Linux Server... .
brammer
@em-pie:
Danke, das tönt nach einer machbaren Lösung. Ist der Raspberry Pi genug schnell um den ganzen Internetverkehr (max. 40/4 Mpbs) zu filtern? Wohl schon... hätte halt den Nachteil der zusätzlichen Hardware.
@brammer:
Das tönt auch sehr spannend und würde meinem Wunsch ohne zusätzlich Hardware entsprechen. Nur leider habe ich (noch) keine Ahnung von VLANs und wie ich dies alles konfigurieren und einrichten soll
Muss ich mich mal einlesen.
Danke, das tönt nach einer machbaren Lösung. Ist der Raspberry Pi genug schnell um den ganzen Internetverkehr (max. 40/4 Mpbs) zu filtern? Wohl schon... hätte halt den Nachteil der zusätzlichen Hardware.
@brammer:
Das tönt auch sehr spannend und würde meinem Wunsch ohne zusätzlich Hardware entsprechen. Nur leider habe ich (noch) keine Ahnung von VLANs und wie ich dies alles konfigurieren und einrichten soll
Muss ich mich mal einlesen.
Ich schalte auf dem GS108 das Portmirroring ein und spiegle den Traffic
Das ist der richtige Weg wenn man über die Infrastruktur geht !Ich schaffe es irgendwie den Traffic von Device 1 und Device 2 über den Linux Server umzuleiten. Nur wie?
Das geht natürlich auch und ist schnell gemacht mit einem kleinen Kniff und etwas Software. Guckst du hier:Netzwerk Management Server mit Raspberry Pi
Kapitel ettercap und Traffic redirect.
oder auch hier: https://www.heise.de/security/artikel/Schnellstart-mit-Kali-Linux-220979 ...
Die Bridge Lösung auf dem RasPi geht natürlich auch und das entweder direkt zwischen Endgerät und Switch oder auch über den Mirror Port.
Im o.a. RasPi Tutorial steht das am Ende des Kapitels zum Überwachen von drahtgebunden Netzen. Oder auch hier:
https://www.heise.de/ct/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22148 ...
Es gibt viele Wege nach Rom...
Danke @aqui.
Das APR Spoofing gefällt mir eigentlich gut. Das eine Gerät ist aber in bisschen ein Hund und reagiert auf keinerlei meiner Kontaktaufnahmen. Es wird per Bluetooth von einer App konfiguriert und danach sendet es von sich aus alle 5 Minuten über Port 80 die Daten in die Cloud des Herstellers. Ansonsten ist alles dicht. Kein Ping, kein Arp, nix, darum findet es Ettercap wohl auch nicht.
Werde darum wohl doch über das Portmirroring und der Filterung und Auswertung auf einem Raspberry Pi gehen. Funktioniert ja auch.
Danke!
Das APR Spoofing gefällt mir eigentlich gut. Das eine Gerät ist aber in bisschen ein Hund und reagiert auf keinerlei meiner Kontaktaufnahmen. Es wird per Bluetooth von einer App konfiguriert und danach sendet es von sich aus alle 5 Minuten über Port 80 die Daten in die Cloud des Herstellers. Ansonsten ist alles dicht. Kein Ping, kein Arp, nix, darum findet es Ettercap wohl auch nicht.
Werde darum wohl doch über das Portmirroring und der Filterung und Auswertung auf einem Raspberry Pi gehen. Funktioniert ja auch.
Danke!
Du meinst ARP Spoofing, oder ?
Wenn es natürlich über Bluetooth kommuniziert woanders hin und dieser "Bluetooth Proxy" geht dann ins Internet, dann ist das natürlich was anderes, denn dann werden die Daten ja nicht direkt vom Gerät via Ethernet gesendet. das das dann in Leere rennt ist ja logisch und sagt einen schon der gesunde Menschenverstand.
Dann musst du das Spoofing natürlich auf den Proxy Host loslassen !
Wireshark ist hier wie immer dein bester Freund statt im freien Fall ohne Plan rumzuraten.
sendet es von sich aus alle 5 Minuten über Port 80 die Daten in die Cloud des Herstellers.
Igitt, ein Schnüffelclient im eigenen Netzwerk !!darum findet es Ettercap wohl auch nicht.
Das ist natürlich Blödsinn, denn solange es eine Ethernet Infrastrukt benutzt muss es sich an diese weltweiten Standards halten.Wenn es natürlich über Bluetooth kommuniziert woanders hin und dieser "Bluetooth Proxy" geht dann ins Internet, dann ist das natürlich was anderes, denn dann werden die Daten ja nicht direkt vom Gerät via Ethernet gesendet. das das dann in Leere rennt ist ja logisch und sagt einen schon der gesunde Menschenverstand.
Dann musst du das Spoofing natürlich auf den Proxy Host loslassen !
Wireshark ist hier wie immer dein bester Freund statt im freien Fall ohne Plan rumzuraten.
So ganz ohne Plan bin ich schon nicht Wireshark hat mir gesagt dass das Device alle 5 Minuten die Wetterdaten per HTTP Post an die Amazon Cloud überträgt. Dort hostet der Anbieter seine Daten.
Bluetooth wird nur zur Konfiguration verwendet, anschliessend nicht mehr. Ausser diesem regelmässigen Senden der Daten reagiert das Device aber auf nichts, d.h. nicht mal pingen geht und ein Portscan hat keine offenen Ports ergeben.
Und ja, habe natürlich ARP Spoofing gemeint. Und Spoofing habe ich auf das richtige Device losgelassen, aber ich gehe davon aus dass sich das Gerät doch nicht so ganz an alle Standards hält...
Wireshark hat mir gesagt dass das Device alle 5 Minuten die Wetterdaten per HTTP Post an die Amazon Cloud überträgt. Dort hostet der Anbieter seine Daten.Bluetooth wird nur zur Konfiguration verwendet, anschliessend nicht mehr. Ausser diesem regelmässigen Senden der Daten reagiert das Device aber auf nichts, d.h. nicht mal pingen geht und ein Portscan hat keine offenen Ports ergeben.
Und ja, habe natürlich ARP Spoofing gemeint. Und Spoofing habe ich auf das richtige Device losgelassen, aber ich gehe davon aus dass sich das Gerät doch nicht so ganz an alle Standards hält...
Ausser diesem regelmässigen Senden der Daten reagiert das Device aber auf nichts
Auf einen ARP antworten muss es aber schon, denn sonst könnte es im netzwerk gar nicht kommunizieren.das ICMP Ping auch nicht implementiert ist ist eher ungewöhnlich. Das haben sogar 3 Euro China Module mit an Bord, Aber natürlich möglich
Auf einen ARP antworten muss es aber schon, denn sonst könnte es im netzwerk gar nicht kommunizieren.
Könnte es nicht sein dass er beim Einrichten per DHCP u.a. den Gateway bekommt und danach einen ARP Request mit dessen IP losschickt? Und sobald er die MAC Adresse (des Gateways) bekommen und er sie in sein ARP-Table eingetragen hat interessiert es ihn nicht mehr weiter und er reagiert auf nichts?
Wenn ich mal Zeit und Muse habe studiere ich die Wireshark Logs noch ein bisschen genauer, momentan arbeite ich an der Port-Mirroring-Lösung. Da komme ich ja auch zum Ziel, das andere wäre mehr so aus Interesse.