ルーターから特定のサーバーに送信されるパケットをキャプチャするにはどうすればよいですか？

12

自宅に小さなローカルネットワークがあり、2台のコンピューターがモデムルーターに接続されています。ルーターから特定のサーバーに送信されるパケットをキャプチャしたい（サーバーのIPアドレスがわかっている）。

ルーターの製造元はD-Linkです。

router sniffing

— user664174
ソース

2

Wiresharkを「サーバー」にインストールします。

— HopelessN00b

これを実現するには、いくつかの方法があります。どのようなルーターですか？インラインに配置できるハブ（スイッチではない）がありますか。ポートスパンを実行できるスイッチにアクセスできますか？PCでSNORTを使用し、ルーターとサーバーの間にインラインで配置することでトラフィックを収集できます。これにはたくさんの答えがあります。

— エベレット

接続は、ルーターまたはルーターに接続されたシステムから開始されていますか？

— Synetech

接続は、ルーター自体とサーバーの間です。ルーターには、サーバーに接続するファームウェアwitchがあります

— -user664174

5

まず、すべてのトラフィックの間に入らなければなりません。これはさまざまな方法で行うことができますが、おそらく最も簡単な方法は、両方のコンピューターからのトラフィックが本当に必要なのか、単一のコンピューターからのトラフィックだけが必要なのかを識別することです。

両方が必要な場合は、コンピューターをハブに接続してからルーターに接続します。ハブはすべてのネットワークトラフィックをすべてのポートに送信し、スイッチはそれを目的の宛先にのみ送信します。

スイッチが1つしかない場合、1台のコンピューターをゲートウェイとしてリグし、2台目のコンピューターをその方向に向けることができると思いますが、これは面倒です。

ルーターも含めてすべてのトラフィックが必要な場合は、ルーターの後にハブを置き、コンピューターを接続します。これはおそらく、キャプチャしようとしているトラフィックが、パケットをキャプチャするために使用しているマシンから発信されていない場合にのみ機能します。そうでない場合は、より厄介な設定が実行されます。

すべてのトラフィックがコンピューターのNICを通過したら、パケットスニッファー（実際にはWiresharkよりもWindowsネットワークモニターの方が好きです）をつかみ、パケットの取得を開始します。おそらく、問題のサーバーを表示するためだけにトラフィックをフィルターしたいでしょう。Microsoftネットワークモニターのフィルターは非常にユーザーフレンドリーです。ここに画像の説明を入力してください

— タナー・フォークナー
ソース

ルーター自体（ファームウェア）からインターネット上のサーバーへの通信をキャプチャする必要があります。私は両方向をキャプチャする必要があります。

— -user664174

トラフィックを生成できるように両方のコンピューターが必要ですか？ルーターの後にハブに接続し、パケットをキャプチャする以外にネットワークに対して「デッド」にすることができる場合は、おそらくそれが道です。あなたがやろうとしていることに関して、もう少し詳しく説明しても害はないかもしれません。このトラフィックをキャプチャする必要があるのは奇妙に思えます。根本的な目標を達成するためのより良い方法があるかもしれません。

— タナーフォークナー

私のisp putは、彼だけが知っているパスワードを持つ新しいユーザーをルーターに追加しました。ユーザーがispによって構築されたセットアップページに移動してルーターを構成できるように、彼はそうしました。そのパスワードを知りたいと思います。そのため、ルーターはispのサーバーからログインされており、通信をキャプチャする必要があります。私はそれが固定だと思うが、それでも私は確認したい

— user664174

私はあなたが役に立たないかもしれないと思った。;）ハッシュ化せずにパスワードを送信しないことは間違いありません。ルーターにアクセスしたい場合（つまり、なぜだと思わないのですか？）、ルーターに侵入しようとするのではなく、自分でルーターを購入し、古いもののMACアドレスを偽装する方がよいでしょう。

— タナーフォークナー

ルーターにログインできますが、パスワードを知りたいです。

— user664174

10

ホームルーターでDD-WRTを実行する場合、ルーターでtcpdumpを直接実行し、出力を後で処理するためにローカルシステムに戻すことができます。

例：

ssh root@192.168.1.1 -c "tcpdump -v -w - -i eth2" > mypackets.pcap

完了したらCtrl-Cを押し、Wiresharkなどのお気に入りの分析ツールにキャプチャファイルを読み込みます。

— マイケル・ハンプトン
ソース

1

どうすればtcpdumpそこに乗れますか？

— rakslice

このコマンドは私のお気に入りです。多くの方法があり、OPKG、IPKG、またはその他のルーターベースのパッケージマネージャーを使用できます。または、（インターネット上で）mips / armsでコンパイルされたtcpdumpを見つけて、ルーターディレクトリまたは一時ファイルシステムに配置することもできます。

— ヴァレリオ

0

エンタープライズグレードのルーターまたはスイッチを使用すると、ポートをミラーリングし、wiresharkやnetmonなどのパケットキャプチャプログラムを使用してこれを行うことができます。d-linkルーターでは、これを構築する方法は本当にありません。

1つの解決策は、ネットワークハブ（スイッチではなく、ハブ）を取得して、内部ネットワークに配置することです。次に、ハブのアップリンクをルーターのポートに差し込みます。これで、ハブを使用しているため、ネットワークを出入りするすべてのトラフィックがマシンのすべてのNICにヒットする状況が作成されました。これを行うと、wiresharkまたはnetmonを無差別モードで実行し、このトラフィックをすべてキャプチャできるようになります。特定のIPとの間でトラフィックを分離するフィルターを作成するのは簡単です。

— MDMarra
ソース

1

DリンクルーターのMACアドレステーブルを埋めて、ハブになるようにして、すべてのポートに気付かずにすべてのがらくたをブロードキャストできる場合があります。

— トム・オコナー

0

パケットがルーター自体から発信されている場合を除き（可能性はありますが、可能性は低い）、パケットは接続されたコンピューターの1つから発信される必要があります。この場合、packet-snifferを使用できます。SmartSniffは非常に使いやすく、特定のIP、ポートなどとの接続のみをキャプチャおよび/または表示するように構成できます。

— シネテック
ソース