Relais RJ45 qui capture / édite des données

Je veux analyser ce qui se passe à travers un câble RJ45 sans utiliser de MITM occasionnel (intoxication par Arp, etc.) mais en étant le MITM.

J'explique: Au lieu de brancher l'ordinateur A eth0 au routeur R eth0, je souhaite connecter l'ordinateur A eth0 à l'ordinateur B eth0 et brancher l'ordinateur B eth1 au routeur R eth0.

A(eth0) <---> R(eth0)
A(eth0) <---> (eth0)B(eth1) <---> R(eth0)

L'ordinateur B devrait pouvoir enregistrer tout ce qui le traverse. L'ordinateur A et le routeur R ne doivent pas être conscients de ce qui se passe (ils devraient tous les deux penser qu'ils sont directement connectés). B est une sorte de dispositif d'espionnage.

(Je le fais pour faire une fausse mise à jour du firmware de la "TV Box" que mon FAI fournit

Comment puis-je faire ceci ?

Étant donné que vous avez apparemment un accès physique à la connexion réseau, l'insertion d'un concentrateur Ethernet est probablement la solution la plus simple. Au lieu d'insérer l'ordinateur B entre A et R , installez le concentrateur et connectez également B au concentrateur. Exécutez Wireshark sur B pour capturer le trafic réseau.

Si vous ne possédez pas déjà de concentrateur Ethernet, vous devez être conscient des pièges de l’acquisition d’un tel concentrateur. Vous ne pouvez pas utiliser de commutateur pour cette tâche, et certains "concentrateurs" sont en fait des commutateurs! Vous trouverez ici des informations utiles sur les concentrateurs Ethernet .

L'ordinateur B devrait pouvoir enregistrer tout ce qui le traverse.

Wireshark sera certainement en mesure de capturer / enregistrer tous les paquets réseau transmis par ordinateur A et le routeur R . Wireshark configure le port spécifié en mode promiscuous afin que le matériel ne filtre pas les trames Ethernet reçues.

L'ordinateur A et le routeur R ne doivent pas être conscients de ce qui se passe (ils devraient tous les deux penser qu'ils sont directement connectés).

Le seul indice qu'il existe un concentrateur plutôt qu'un commutateur dans le réseau est que les liaisons sont obligées de fonctionner en semi-duplex plutôt qu'en duplex intégral . L’effet net est que la latence peut être un peu plus élevée et le débit réduit. Mais ces mêmes conditions pourraient également être provoquées par un trafic réseau accru (ou le système d'insertion de l'ordinateur B que vous proposez ), de sorte qu'un utilisateur doit être astucieux pour détecter la présence du concentrateur (en supposant qu'il ne soit pas visible).

Une idée sur la configuration du réseau que je devrais utiliser?

Lors de l'utilisation de Wireshark, ma préférence est d'utiliser un port Ethernet secondaire de l'ordinateur, soit une deuxième carte réseau, soit un adaptateur USB-à-Ethernet. Ce schéma permet de personnaliser la configuration du "port de détection" sans perturber la configuration de (l'autre) port pour une activité réseau "normale" (par exemple, l'attribution d'adresse IP par DHCP et l'accès Internet). Bien sûr , ce « port renifler » devrait se voir attribuer une (unique) adresse IP statique dans le même sous - réseau que l' ordinateur A .

Ce PC renifleur exécuterait de manière optimale un système d'exploitation Linux. Les machines Windows ont tendance à ignorer les machines non Windows sur le réseau. Linux propose également la commande ethtool pour désactiver la transmission des paramètres "pause" et "checksumming", mais je n'ai jamais utilisé ces options et je ne sais pas si elles contribueraient à rendre ce PC moins détectable.

Si vous utilisez un système d' exploitation Windows sur l'ordinateur renifleur, alors assurez - vous de désinstaller tous les protocoles (par exemple Client for Microsoft Networks, File and Printer Sharing for Microsoft Neworks, Link-Layer Topology Discovery ...) sauf Internet Protocol Version 4 sous Propriétés de Local Area Connection pour le périphérique Ethernet du renifleur.