[Николай]

AstraHard

24 ноя 2021, 15:49

Есть устройство, с достаточно простыми функциями, управляемое по Ethernet интерфейсу. Имеется некоторое представление о данных которые передаются на основе текста парсера данных. Неизвестен протокол запрос ответ, возможно это ModBus over Ethernet. Приведите пожалуйста пример аппаратного снифера и, какие сетевые карты больше всего подходят для сниффинга. Думаю сделать ответвитель сигнала на трансформаторе с переключателем направления данных вручную или две сетевые карты. Есть ли снифферы, которые одновременно могут делать парсинг (разбор с пониманием) неизвестного протокола, на основе предположения оператора и-или на основе своей базы знаний о существующих протоколах? Ну и адрес хх.хх.хх.хх и Port конечно заранее известны. P.S. И вообще эта тема интересна или нет? может Malcolm Подробнее: securitylab.ru/software/502280.php и github.com/idaholab/Malcolm _________________ Vigo Carpathian

NStorm

24 ноя 2021, 16:29

Ethernet нет смысла сниффить аппаратно, всё делается программно. ПО единственный и неповторимый WireShark. Чтобы захватить трафик есть тонна решений. Самое простое – комп с 2 сетевыми сконфигурированными как сетевой мост (трафик проходит через них прозрачно для ус-в между ними, но захватить его можно весь). Другой вариант – если есть настраиваемый коммутатор, он просто настраивается на зеркалирование трафика порта (Port Mirror). Сложнее, но полностью программно на 1ой сетевухе – через ARP Spoofing трафик захватывается на себя и прозрачно перенаправляется через 1 комп. PS: Wireshark прекрасно понимает и декодирует очень много протоколов, включая Modbus: EDIT: Забыл еще вариант – если найти банальный хаб, не свитч современный, а именно старенький ethernet hub – то через него можно. Сейчас только хрен продают пожалуй. Но хаб работает тупо – он весь входящий трафик на один порт просто рассылает по всем остальным. Поэтому включив в него ваши 2 железки, а в 3 ПК с WireShark – там будет виден весь трафик между 2мя железками. Последний раз редактировалось NStorm 24 ноя 2021, 16:39, всего редактировалось 1 раз.

NStorm

24 ноя 2021, 16:34

Сетевые карты подойдут любые. Любая карта умеет работать в Promiscuous mode для перехвата трафика. В Linux настроить сетевой мост элементарно: brctl addbr vmbr0 && brctl addif vmbr0 eth0 && brctl addif vmbr0 eth1. Всё, две сетевушки работают как будто порты коммутатора. Разве что IP стоит убрать с интерфейса и повесить на сам vmbr0. В винде тоже как-то можно: o-vitoipare.ru/vse-stati/setevoy-most.html наверное так, но я не уверен, в винде такого не делал. Для ARP Spoof’инга в Linux есть утилита arpspoof. Есть также дистрибутив Linux – Kali Linux, в котором собрано множество утилит для анализа и аудита сети.

NStorm

24 ноя 2021, 21:53

Можно и так, хотя там есть определенные нюансы и афаик (могу ошибаться) новые сетевушки гигабитные и новее с пассивным хабом могут не заработать. У них просто иногда уже нет режима 10/100 даже, только 1000 где нужно все 4 пары. А даже если есть 10/100 наверное придется отключить auto negotiation и принудительно выставить скорость/дуплекс. Вообще самое правильное решение – зеркалирование трафика на управляемом коммутаторе. У меня таких на работе просто валом, поэтому не проблема.

_pv

24 ноя 2021, 22:27

NStorm писал(а): Вообще самое правильное решение – зеркалирование трафика на управляемом коммутаторе. У меня таких на работе просто валом, поэтому не проблема. праклически любые две сетевые карты воткнутые в один комп вполне могут быть прозрачным мостом, который можно слушать wiresharkom – такое решение не особо отстаёт по правильности, но при наличии отсутсвия управляемых коммутаторов может оказаться сильно дешевле.

NStorm	24 ноя 2021, 22:57
_pv, я вообще-то такой вариант сразу в 1ом посте предложил. Но _при наличии_ управляемого коммутатора, лучше и удобнее сделать через него.