我想分析通过 RJ45 电缆的情况,而不使用任何随意的 MITM(Arp 中毒等...),而是成为 MITM。
我解释道:不用插上电脑Aeth0 到路由器Reth0 我要插上电脑Aeth0 到计算机乙eth0 并插入计算机乙eth1 至路由器Reth0
A(eth0) <---> R(eth0)
A(eth0) <---> (eth0)B(eth1) <---> R(eth0)
计算机 B 应该能够记录通过它的所有内容。计算机 A 和路由器 R 不应该知道发生了什么(它们都应该认为它们是直接连接的)。B 是一种间谍设备。
(我这样做是为了在我的 ISP 提供的“电视盒”上进行虚假的固件更新
我怎样才能做到这一点 ?
答案1
由于您显然可以物理访问网络连接,因此插入以太网中心可能是最简单的解决方案。无需插入计算机乙之间A和R,安装集线器并连接乙到中心。运行Wireshark在乙捕获网络流量。
如果您还没有以太网集线器,那么您必须意识到尝试获取集线器的陷阱。您不能使用交换机来完成此任务,而一些“集线器”实际上是交换机!有关以太网集线器的有用信息是这里。
计算机 B 应该能够记录通过它的所有内容。
Wireshark 一定能够捕获/记录计算机传输的所有网络数据包A和路由器R. Wireshark 将把指定端口设置为混杂模式,这样硬件就不会过滤掉任何接收到的以太网帧。
计算机 A 和路由器 R 不应该知道发生了什么(它们都应该认为它们是直接连接的)。
网络中存在集线器而非交换机的唯一线索是,链路被迫以半双工而不是全双工。最终结果是延迟可能会略高一些,吞吐量会降低。但这些相同的情况也可能是由于网络流量增加(或您提议的插入计算机的方案)造成的乙),因此用户必须敏锐地检测到集线器的存在(假设它不可见)。
对于我应该使用的网络配置有什么想法吗?
我的偏好是使用Wireshark是使用计算机的辅助以太网端口,可以是第二个 NIC 或 USB 转以太网适配器。此方案允许自定义“嗅探端口”的配置,而不会破坏(其他)端口的配置以进行“正常”网络活动(例如通过 DHCP 和 Internet 访问分配 IP 地址)。当然,应该为这个“嗅探端口”分配一个与计算机位于同一子网中的(唯一)静态 IP 地址A。
这台嗅探 PC 最好运行 Linux 操作系统。Windows 计算机往往会忽略网络上的非 Windows 计算机。Linux 还具有ethtool命令来禁用“暂停参数”和“校验和”的传输,但我从未使用过这些选项,也不知道它们是否有助于降低这台电脑的检测难度。
如果你在嗅探器计算机上使用 Windows 操作系统,则务必卸载全部协议(例如Client for Microsoft Networks,,File and Printer Sharing for Microsoft Neworks)Link-Layer Topology Discovery ...除了 Internet Protocol Version 4在下面本地连接属性用于嗅探器的以太网设备。