Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Всем доброго времени суток, моя не большая история началась с того как мы с другом спорили о стандартах 10BASE-T и 100BASE-T о полных и халф-дуплексах в итоге решил на примере готового устройства показать ему что слушать с пар можно.
Прочитав статью взял свой старенький TP-Link mr3240 v1.2 на котором была дефолтная прошивка. немного танцев с бубном и вот на нем уже полноценный снифер с Openwrt на борту, 8Ah батарейка, Wireguard и флешечка для хранения дампов в случае чего.
Установку openwrt описывать не буду т.к мануалов и так куча.
Начнем наверно с установки tcpdump и подготовки самого WRT: логинимся в роутер по SSH, дефолт root без пароля, далее:
далее немного настроек в Switch openwrt переходим 192.168.1.1
Network -> Switch
будем слушать порт wan и 4 порт, при этом появится интерфейс влана eth0.3, если оставить настройки дефолтными то на 4 порту мы будем слышать только широковещательные сообщения т.к процессор не будет обрабатывать все адресованные не ему сообщения, в случае со статьей вдохновившей меня мы слушали только одну пару либо RX либо TX в моём случае мы слушаем обе на интерфейсах eth1 и eth0.3
Суть в том, чтобы подключить пары Rx и Tx на пары Rx пары каждого интерфейса:
Для этого я собрал такой топорный кабель:
Теперь вопрос о том, как же удобно слушать просто запустить tcpdump и хранить всё на роутере не вариант от слова совсем, только в редких случаях конечно где объем не трафика не большой.
Поэтому решено использовать pipe через ssh plink для windows подходит прям идеально и смотреть всё в wireshark.
Нашел на просторах интернета простой скриптик, в котором нужно указать интерфейс и так далее:
Конечно, можно было бы и доделать это всё есть скриптик на питоне, который объединяет два pipe в один и видно было бы удобно, но для моих целей это было вовсе не нужно.
Дальше вставляем кабель между девайсами и дополнительные пары в wan и 4 порт роутера запускаем две версии скрипта в одной REMOTE_INTERFACE=eth0.3 во второй REMOTE_INTERFACE=eth1.
Пара желтых кабелей была для снифера в них я использовал только зеленую пару как и описывал выше, накручена она на оранжевую пару цветной к цветному, полосатый к полосатому второй кабель так же к зеленой паре.
Я использовал в качестве жертв ноутбук и map lite, синий и серый кабеля как раз для них спаяны они на прямую то есть как должно быть цвет к цвету.
Дальше всё это запитал от аккума добавил wwan подкрутил wireguard и снифить можно из дома, естественно, если есть куда подкинуть wwan в месте, где мы слушаем.
На этом всё.
З.Ы. если сделать мост между интерфейсами то можно слушать оба интерфейса вместе то есть в шарке будет видно сразу и RX и TX))
Прочитав статью взял свой старенький TP-Link mr3240 v1.2 на котором была дефолтная прошивка. немного танцев с бубном и вот на нем уже полноценный снифер с Openwrt на борту, 8Ah батарейка, Wireguard и флешечка для хранения дампов в случае чего.
Установку openwrt описывать не буду т.к мануалов и так куча.
Начнем наверно с установки tcpdump и подготовки самого WRT: логинимся в роутер по SSH, дефолт root без пароля, далее:
opkg update && opkg install tcpdump
img
далее немного настроек в Switch openwrt переходим 192.168.1.1
Network -> Switch
будем слушать порт wan и 4 порт, при этом появится интерфейс влана eth0.3, если оставить настройки дефолтными то на 4 порту мы будем слышать только широковещательные сообщения т.к процессор не будет обрабатывать все адресованные не ему сообщения, в случае со статьей вдохновившей меня мы слушали только одну пару либо RX либо TX в моём случае мы слушаем обе на интерфейсах eth1 и eth0.3
Суть в том, чтобы подключить пары Rx и Tx на пары Rx пары каждого интерфейса:
img
Для этого я собрал такой топорный кабель:
Кабель
Теперь вопрос о том, как же удобно слушать просто запустить tcpdump и хранить всё на роутере не вариант от слова совсем, только в редких случаях конечно где объем не трафика не большой.
Поэтому решено использовать pipe через ssh plink для windows подходит прям идеально и смотреть всё в wireshark.
Нашел на просторах интернета простой скриптик, в котором нужно указать интерфейс и так далее:
@REM ----------------------------------------------------
@REM remotecap.cmd
@REM Example command for captruing eremote network packet
@REM using wireshark and tcpdump.
@REM First written by j2doll. September 10th 2016.
@REM https://github.com/j2doll/wireshark-remote-command-win
@REM http://j2doll.tistory.com
@REM ----------------------------------------------------
@REM install putty and wireshark on your windows pc.
@SET PLINK_PATH="C:\Program Files\PuTTY\plink.exe"
@SET WIRESHARK_PATH="C:\Program Files\Wireshark\Wireshark.exe"
@SET REMOTE_SERVER=192.168.1.1
@SET REMOTE_ACCOUNT=root
@SET REMOTE_PASSWORD=
@SET REMOTE_INTERFACE=eth0.3
@REM execute command
%PLINK_PATH% -batch -ssh -pw %REMOTE_PASSWORD% %REMOTE_ACCOUNT%@%REMOTE_SERVER% "tcpdump -s0 -U -w - -i %REMOTE_INTERFACE%" | %WIRESHARK_PATH% -i - -k
Конечно, можно было бы и доделать это всё есть скриптик на питоне, который объединяет два pipe в один и видно было бы удобно, но для моих целей это было вовсе не нужно.
Дальше вставляем кабель между девайсами и дополнительные пары в wan и 4 порт роутера запускаем две версии скрипта в одной REMOTE_INTERFACE=eth0.3 во второй REMOTE_INTERFACE=eth1.
Пара желтых кабелей была для снифера в них я использовал только зеленую пару как и описывал выше, накручена она на оранжевую пару цветной к цветному, полосатый к полосатому второй кабель так же к зеленой паре.
Я использовал в качестве жертв ноутбук и map lite, синий и серый кабеля как раз для них спаяны они на прямую то есть как должно быть цвет к цвету.
Чутка картиночек
Дальше всё это запитал от аккума добавил wwan подкрутил wireguard и снифить можно из дома, естественно, если есть куда подкинуть wwan в месте, где мы слушаем.
На этом всё.
З.Ы. если сделать мост между интерфейсами то можно слушать оба интерфейса вместе то есть в шарке будет видно сразу и RX и TX))