Discussione:
Cavo ethernet per Wireshark
(troppo vecchio per rispondere)
mao
2009-07-29 13:26:59 UTC
Permalink
Ciao a tutti.
Tempo fa in rete avevo trovato lo schema di un cavo da collegare a uno
switch per monitorare il traffico con Wireshark.
Ma ho perso il link, qualcuno di voi mi può aiutare.
TIA
roberto
2009-07-29 13:27:25 UTC
Permalink
Post by mao
Ciao a tutti.
Tempo fa in rete avevo trovato lo schema di un cavo da collegare a uno
switch per monitorare il traffico con Wireshark.
Sicuro che fosse per uno switch?
http://www.iamshadowlord.com/labels/wireshark.html

Funziona per gli hub, o per la porta monitor di uno switch managed
in cui fai replicare tutti i pacchetti.
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
mao
2009-07-29 13:45:36 UTC
Permalink
Post by roberto
Post by mao
Ciao a tutti.
Tempo fa in rete avevo trovato lo schema di un cavo da collegare a uno
switch per monitorare il traffico con Wireshark.
Sicuro che fosse per uno switch?
http://www.iamshadowlord.com/labels/wireshark.html
Funziona per gli hub, o per la porta monitor di uno switch managed
in cui fai replicare tutti i pacchetti.
Si, quasi sicuro.
Non parlava di porta monitor ma generica.
Grazie cmq
whiplash
2009-07-29 15:53:46 UTC
Permalink
Post by mao
Si, quasi sicuro.
Non parlava di porta monitor ma generica.
Uno switch non è un hub, per cui, se non metti una porta in mirror, vedrai
solo il traffico destinato a quella porta, eccezion fatta per i pacchetti
in flooding.
ObiWan
2009-07-29 15:56:55 UTC
Permalink
Post by whiplash
Uno switch non è un hub, per cui, se non metti
una porta in mirror, vedrai solo il traffico destinato
a quella porta, eccezion fatta per i pacchetti in
flooding.
... a meno di non usare un "network tap" :)

http://en.wikipedia.org/wiki/Network_tap

http://hackaday.com/2008/09/14/passive-networking-tap/
roberto
2009-07-29 16:44:19 UTC
Permalink
Post by ObiWan
Post by whiplash
Uno switch non è un hub, per cui, se non metti
una porta in mirror, vedrai solo il traffico destinato
a quella porta, eccezion fatta per i pacchetti in
flooding.
... a meno di non usare un "network tap" :)
http://en.wikipedia.org/wiki/Network_tap
Ma che vede, sempre e comunque, quello che transita su quel troncone.

--cite--
The network TAP allows the monitoring device to view the contents of a
point-to-point link
^^^^^^^^^^^^^^^^^^^
--/cite--

Parliamoci chiaro: se lo switch non è un catorcio da 20 euro, o gli
saturi l'arp-table e speri che ti mirrori il traffico su tutte le
porte, o tu sulla porta due non vedi ciò che si stanno dicendo i due
apparati attaccati alla porta uno e alla tre.
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
ObiWan
2009-07-30 07:58:36 UTC
Permalink
Post by roberto
Post by ObiWan
... a meno di non usare un "network tap" :)
http://en.wikipedia.org/wiki/Network_tap
Ma che vede, sempre e comunque, quello che transita su quel troncone.
sicuramente si; tutto dipende da quel che vuoi monitorare, ad esempio,
supponendo di voler monitorare il traffico tra la LAN e la WAN potresti
inserire il tap tra la LAN ed il router WAN
Post by roberto
Parliamoci chiaro: se lo switch non è un catorcio da 20 euro,
o gli saturi l'arp-table e speri che ti mirrori il traffico su tutte
le
Post by roberto
porte, o tu sulla porta due non vedi ciò che si stanno dicendo
i due apparati attaccati alla porta uno e alla tre.
ma per carità; ripeto, tutto dipende da quello che vuoi monitorare; nel
caso del traffico LAN ti serve una porta mirror in altri casi un "TAP"
potrebbe risolvere il problema
roberto
2009-07-30 11:03:23 UTC
Permalink
ObiWan ha scritto:
-cut-
Post by ObiWan
ma per carità; ripeto, tutto dipende da quello che vuoi monitorare; nel
caso del traffico LAN ti serve una porta mirror in altri casi un "TAP"
potrebbe risolvere il problema
Eh, lo so, ma mao insiste a cercare il cavo miracoloso per sniffare
sugli switch. ;-)
E da come si è posto, sperava in un funzionamento come con gli hub.
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
ObiWan
2009-07-30 11:19:22 UTC
Permalink
Post by roberto
Eh, lo so, ma mao insiste a cercare il cavo miracoloso per sniffare
sugli switch. ;-)
E da come si è posto, sperava in un funzionamento come con gli hub.
beh... che ci vuole, basta mettere l'uplink in loop :D
roberto
2009-07-30 11:44:05 UTC
Permalink
Post by ObiWan
Post by roberto
Eh, lo so, ma mao insiste a cercare il cavo miracoloso per sniffare
sugli switch. ;-)
E da come si è posto, sperava in un funzionamento come con gli hub.
beh... che ci vuole, basta mettere l'uplink in loop :D
Don't try this at home^Wwork! :-P
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
ObiWan
2009-07-30 13:35:12 UTC
Permalink
Post by roberto
Post by ObiWan
beh... che ci vuole, basta mettere l'uplink in loop :D
Don't try this at home^Wwork! :-P
come no :D ?!?

ho visto cose che voi umani.... <g>
roberto
2009-07-30 14:07:48 UTC
Permalink
Post by ObiWan
Post by roberto
Post by ObiWan
beh... che ci vuole, basta mettere l'uplink in loop :D
Don't try this at home^Wwork! :-P
come no :D ?!?
ho visto cose che voi umani.... <g>
Beh, quello l'ho visto anch'io, non proprio così, ma ti prospetto
uno scenario: telefoni IP, telefoni con piccolo switch incorporato,
cui collegare un secondo apparecchio, o se le reti sono comuni, un
pc, risparmiando una presa cablata.
Ti dimentichi un cavo di rete attaccato all'uscita "switch" del
telefono, vai a casa, e il mattino dopo uno degli stabilimenti è
completamente isolato.

Nello switch centrale uno dei canali in fibra è down per overload.
Provi a staccarlo, e tutto funziona.
Lo riattacchi, e in tre secondi, down.

Vai dall'altro lato della fibra, e scopri lo switch impallato.

Impallato per impallato, stacchi i cavi uno alla volta fino a
trovare la porta incriminata.

Segui lo schema e trovi che la donna delle pulizie aveva avuto
il dubbio di aver staccato il cavo di rete spazzando dietro la
scrivania, e vista una presa adatta nel muro, ci ha collegato
il cavo penzoloni.

Ti lascio immaginare il traffico arp autorigenerante di quel
segmento. <vbeg>
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
ObiWan
2009-07-30 14:14:18 UTC
Permalink
Post by roberto
Ti lascio immaginare il traffico arp autorigenerante di quel
segmento. <vbeg>
packetstorm... bel sito, senza dubbio :D

roberto
2009-07-29 16:14:58 UTC
Permalink
mao ha scritto:
-cut-
Post by mao
Post by roberto
Funziona per gli hub, o per la porta monitor di uno switch managed
in cui fai replicare tutti i pacchetti.
Si, quasi sicuro.
Non parlava di porta monitor ma generica.
Il che non sarebbe possibile, dato che lo switch, a meno che tu non
saturi la sua arp-table, non distribuisce i pacchetti ad ogni porta
possibile, ma solo a quella di cui sa essere la destinataria.
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
mao
2009-07-30 07:12:01 UTC
Permalink
Post by roberto
Il che non sarebbe possibile, dato che lo switch, a meno che tu non
saturi la sua arp-table, non distribuisce i pacchetti ad ogni porta
possibile, ma solo a quella di cui sa essere la destinataria.
Allora vuol dire che ricordo male.
Non posso nemmeno controllare perchè non conosco chi mi ha ciulato il
portatile :-)
ObiWan
2009-07-30 08:00:04 UTC
Permalink
Post by roberto
Il che non sarebbe possibile, dato che lo switch, a meno
che tu non saturi la sua arp-table
mica solo la sua <g> http://www.phenoelit-us.org/arpoc/
(non mi assumo responsabilità sulle conseguenze che
possano derivare dall'uso di quel tool :D)
whiplash
2009-07-30 08:34:55 UTC
Permalink
Post by roberto
Il che non sarebbe possibile, dato che lo switch, a meno che tu non
saturi la sua arp-table
mica solo la sua <g> http://www.phenoelit-us.org/arpoc/ (non mi assumo
responsabilità sulle conseguenze che possano derivare dall'uso di quel
tool :D)
Beh, è un ettercap dei poveri...
Loading...