Пассивный сниффинг Ethernet

в 17:05, , рубрики: ethernet, sniffer, информационная безопасность, Сетевые технологии, метки: ,

Почему пассивный?

Потому что его невозможно определить никакими средствами внутри сети

Матчасть

Рассмотрим ситуацию, когда наш компьютер подключен к сетевому коммутатору по протоколу 100baseTX. Для его работы необходимы всего две пары внутри нашего сетевого кабеля.
image

Итак, оранжевая пара это передатчик сетевой карты компьютера, но с другой стороны у нас его слушает приемник коммутатора. И наоборот.
Этим и воспользуемся!

Берем ноутбук с сетевой картой, обжимаем только приемную пару, и просто подключаемся ею в нужную нам линию. Если нужно собрать исходящий из компьютера-жертвы трафик, то подключаемся к оранжевой паре. Если входящий — то к зелёной:
image
На сетевой плате ноутбука, безусловно, установится линк, пользуемся Wireshark или другим удобным софтом для сниффинга.

Преимущества метода

1. Возможно подключение отвода в любом месте кабеля.
2. Отвод для сниффинга может быть длинной 20-30метров.
3. Жертва/администраторы ничего не заметят, т.к. подключится можно без прерывания связи.
4. Метод полезен, если недоступны коммутаторы с Port Monitor
5. Очень прост в реализации

Недостатки метода

1.Необходимо нарушать изоляцию для подключения отвода, либо прерывать легитимный линк для включения ответвителя. Для подключения можно воспользоваться соединителем 3M Scotchlok UB2A, который предназначен для подпараллеливания без прерывания связи на жилах 0.4 — 0.9 мм
image
2.Нельзя оставлять конец отвода без нагрузки, иначе легитимный линк будет нарушен ввиду многократных отражений сигнала от ненагруженного конца витой пары. Нагрузкой может быть сетевая карта ноутбука, или резистор на 50Ом.

Автор: panaslonik

Источник

Поделиться

* - обязательные к заполнению поля