Forum: PC Hard- und Software aircrack-ng für Normales Netzwerk


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Marco K. (fuerst-rene)


Bewertung
-1 lesenswert
nicht lesenswert
Hallo zusammen,
ich suche ein Tool was meine "Normale Netzwerkkarte" in einen zuhör 
Modus versetzt.
Bei Aircrack-ng geht das ja für WLAN.
Nur möchte ich das auch mit dem Kupferkabel machen.

Hintergrund:
Ich möchte die Verbindung zwischen zwei Routern überprüfen.
Mit 100Mbit ist das einfach, 2 Netzwerkkarten jehweils mit empfangen 
anschließen.
Aber wie geht das mit Gigabit?
Da braucht es alle 8 Adern, und es wird ja ausgehandelt welche Leitung 
wo für ist.
Gibt es trotzdem eine möglichkeit passiv mitzuhören?
Und nein, ein TAP kommt nicht in frage, der ist Aktiv und handelt auf 
beiden Seiten aus.

Danke schon mal für Antworten und Anregungen

von Felix U. (ubfx)


Bewertung
-2 lesenswert
nicht lesenswert
Marco K. schrieb:
> Ich möchte die Verbindung zwischen zwei Routern überprüfen.
> Mit 100Mbit ist das einfach, 2 Netzwerkkarten jehweils mit empfangen
> anschließen.

Könntest du erklären, wie du das meinst? Wo schließt du denn zwei 
Netzwerkkarten und zwei Router an einem Kabel an?

von Michael Gugelhupf (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Wireshark
tshark
dumpcap
tcpdump

von Marco K. (fuerst-rene)


Bewertung
-1 lesenswert
nicht lesenswert
Bei beiden Netzwerkkarten nur die Empfangsleitung jehweils an die 
Sendeleitung der Verbindung zwischen den Routern.

Router1 Senden ------------------------Router2 Empfangen
                           |
                           |
                       Netzwerkkarte1

Router1 Empfangen ------------------------Router2 Senden
                           |
                           |
                       Netzwerkkarte2

Wirklich Kabel auftrennen und parrallel anklemmen also

von Marco K. (fuerst-rene)


Bewertung
-2 lesenswert
nicht lesenswert
Michael Gugelhupf schrieb:
> Wireshark

Das ist mir klar, nur mit Gigabit funktioniert das nicht.

von Thorsten S. (thosch)


Bewertung
0 lesenswert
nicht lesenswert
Das parallele Anklemmen eines Rx-Ports ist elektrisch aber Pfusch, weil 
doppelte Terminierung und ein Stub daraus resultieren. Beides (zer)stört 
die Signalqualität durch Reflexionen.

Die saubere bzw. überhaupt funktionierende Alternative ist, entweder 
einen aktiven Tap-Adapter zum Anzapfen zu verwenden (sowas werden die 
wenigsten zur Verfügung haben) oder einfach am Switch ein Port 
Monitoring (Port Mirroring) zu aktivieren, was natürlich einen managed 
Switch bzw. zumindest einen Smart-Switch erfordert.
Geeignete Smart-Switches mit 5 Ports gibts um 40€.

Dann hängt man sich mit einem Rechner mit Wireshark auf den Mirror-Port, 
während jener im Switch so konfiguriert wird, daß er die Daten vom zu 
beobachtenden Port spiegelt.

: Bearbeitet durch User
von Norbert (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Marco K. schrieb:
> Michael Gugelhupf schrieb:
>> Wireshark
>
> Das ist mir klar, nur mit Gigabit funktioniert das nicht.

Das muss ich sofort meinem Netzwerkanschluss mitteilen. ;-)
Also das er aufhören soll sich von Wireshark belauschen zu lassen.
Und das ist sogar ein 2½ GBit Teil. Läuft aber zZ nur mit 1GBit.

von Felix U. (ubfx)


Bewertung
-1 lesenswert
nicht lesenswert
Norbert schrieb:
> Das muss ich sofort meinem Netzwerkanschluss mitteilen. ;-)
> Also das er aufhören soll sich von Wireshark belauschen zu lassen.

Es geht darum, Daten abzufangen, die nicht an deinen Rechner addressiert 
oder von ihm versendet werden.

Marco K. schrieb:
> Bei beiden Netzwerkkarten nur die Empfangsleitung jehweils an die
> Sendeleitung der Verbindung zwischen den Routern.

Danke für die Erklärung

von Norbert (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Ups, sehe gerade du willst dich parallel draufhängen.
Dann ignoriere meinen Post bitte.

von Marco K. (fuerst-rene)


Bewertung
-1 lesenswert
nicht lesenswert
Thorsten S. schrieb:
> Das parallele Anklemmen eines Rx-Ports ist elektrisch aber Pfusch, weil
> doppelte Terminierung und ein Stub daraus resultieren. Beides (zer)stört
> die Signalqualität durch Reflexionen.

Das ist mir schon klar ;-)
Es geht mir aber darum herraus zu finden warum die beiden Teilnehmer 
ständig ihre Verbindung neu Aushandeln und wir einbrüche in der 
Kapazität bekommen.

Ach ja und das Fehlerbild trit mit und ohne Anklemmen auf.

: Bearbeitet durch User
von Thorsten S. (thosch)


Bewertung
1 lesenswert
nicht lesenswert
Norbert schrieb:
> Marco K. schrieb:
>> Michael Gugelhupf schrieb:
>>> Wireshark
>>
>> Das ist mir klar, nur mit Gigabit funktioniert das nicht.
>
> Das muss ich sofort meinem Netzwerkanschluss mitteilen. ;-)
> Also das er aufhören soll sich von Wireshark belauschen zu lassen.
> Und das ist sogar ein 2½ GBit Teil. Läuft aber zZ nur mit 1GBit.

Es ging nicht ums Belauschen des PC-Ports mit Wireshark, sondern ums 
Belauschen einer Verbindung zwischen zwei Netzwerkteilnehmern von denen 
der PC mit Wireshark keiner ist.
Der Switch sorgt dafür, daß die Pakete der zu belauschenden Verbindung 
nur an den beiden Ports der Teilnehmer auftauchen und nicht am PC, der 
da lange lauschen kann ...

Das setzt ein Tapping voraus, und passives Tapping geht nicht bei 
Gigabit Ethernet.

Ein Switch mit Port-Mirroring löst dieses Problem.

von Marco K. (fuerst-rene)


Bewertung
-1 lesenswert
nicht lesenswert
Thorsten S. schrieb:
> Das setzt ein Tapping voraus, und passives Tapping geht nicht bei
> Gigabit Ethernet.

Danke genau das wollte ich wissen.
Mit dem TAP verfälsche ich ja die Aushandlung und so weiter.

von Marco K. (fuerst-rene)


Bewertung
-1 lesenswert
nicht lesenswert
Thorsten S. schrieb:
> Ein Switch mit Port-Mirroring löst dieses Problem.

Das haben wir schon gemacht,
aber wir können nicht erkennen warum ständig die Verbindung neu 
ausgehandelt wird. Mit TAP dazwischen treten die Fehler nicht auf ;-)

von Thorsten S. (thosch)


Bewertung
0 lesenswert
nicht lesenswert
Nimm einen Smart-Switch mit Mirroring, dann bekommste sogar beide 
Richtungen Rx und Tx vom gemirrorten Port auf deinen Schnüffelrechner 
mit Wireshark.

von Frank K. (fchk)


Bewertung
0 lesenswert
nicht lesenswert
Marco K. schrieb:

> Aber wie geht das mit Gigabit?
> Da braucht es alle 8 Adern, und es wird ja ausgehandelt welche Leitung
> wo für ist.

Das ist falsch.

Alle vier Adernpaare werden sowohl zum Senden als auch zum Empfangen 
verwendet. In jedem PHY ist ein Signalprozessor, der auf jedem Adernpaar 
Echo Cancelling macht, d.h. er subtrahiert das gesendete Signal plus 
dessen Echos vom empfangenen Signal und bekommt nur so heraus, was die 
Gegenseite gesendet hat.

Wenn Du in der Mitte mithörst, hast Du nur das Summensignal, das Du 
nicht auftrennen kannst. Echo Cancelling geht eben nur in den PHYs 
selber, weil nur die sowohl das Sendesignal als auch das Empfangssignal 
haben.

Daher:

> Gibt es trotzdem eine möglichkeit passiv mitzuhören?

Nein, aus den oben genannten Gründen kann es das nicht geben.

fchk

von Frank K. (fchk)


Bewertung
1 lesenswert
nicht lesenswert
Marco K. schrieb:
> Thorsten S. schrieb:
>> Ein Switch mit Port-Mirroring löst dieses Problem.
>
> Das haben wir schon gemacht,
> aber wir können nicht erkennen warum ständig die Verbindung neu
> ausgehandelt wird. Mit TAP dazwischen treten die Fehler nicht auf ;-)

Dann müsst Ihr eben anfangen, Hardware auf Verdacht zu tauschen. Anders 
geht es nicht.

Defekte Netzwerkports sind im Übrigen so selten nicht.

fchk

von Marco K. (fuerst-rene)


Bewertung
-1 lesenswert
nicht lesenswert
Frank K. schrieb:
> Defekte Netzwerkports sind im Übrigen so selten nicht.

Frank K. schrieb:
> Alle vier Adernpaare werden sowohl zum Senden als auch zum Empfangen
> verwendet. In jedem PHY ist ein Signalprozessor, der auf jedem Adernpaar
> Echo Cancelling macht, d.h. er subtrahiert das gesendete Signal plus
> dessen Echos vom empfangenen Signal und bekommt nur so heraus, was die
> Gegenseite gesendet hat.
>
> Wenn Du in der Mitte mithörst, hast Du nur das Summensignal, das Du
> nicht auftrennen kannst. Echo Cancelling geht eben nur in den PHYs
> selber, weil nur die sowohl das Sendesignal als auch das Empfangssignal
> haben.

Vielen Dank Frank K.

Jetzt weiß ich endlich warum es nicht geht.
Dann müssen wir den Hersteller mal kontaktieren.
Ist ärgerlich wenn im Projekt regelmäßig das Kamerabild ausfällt und das 
wegen 2 Blöden Routern.

von Georg S. (Gast)


Bewertung
-2 lesenswert
nicht lesenswert
OpenWRT Router: Installiere tshark/tcpdump und leite dir per SSH den 
traffic  an deinen Laptop.

Kabel auswechseln wirkt auch manchmal Wunder.

von c-hater (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Marco K. schrieb:

> Es geht mir aber darum herraus zu finden warum die beiden Teilnehmer
> ständig ihre Verbindung neu Aushandeln und wir einbrüche in der
> Kapazität bekommen.

Einzige denkbare Erklärungen:

1) Hardware (Kabel/Konnektoren) Scheiße.
2) Hardware oder Firmware des NIC-Chips fehlerhaft.

1) ist mindestens eine Million Mal wahrscheinlicher als 2)...

Und übrigens: Damit, dass du den NIC-Chip in den Promisc-Modus bringst, 
wirst du daran rein garnix ändern und auch keine neuen Erkenntnisse 
gewinnen können.

Das, was da schief läuft, passiert unterhalb von Layer2. Kein 
Ethernet-Snoop-Tool bekommt davon irgendetwas mit. Um von diesem Kram 
etwas mitzubekommen, musst du mit heftiger (und entsprechend teurer) 
Hardware ran.

Oder an die Debug-Schnittstellen der NIC-Chips. So ca. ab einer Million 
USD Einsatz und gegen Abschluss eines NDA bekommst du vermutlich 
tatsächlich Zugriff darauf...

von M. P. (phpmysqlfreak)


Bewertung
0 lesenswert
nicht lesenswert
Georg S. schrieb:
> OpenWRT Router: Installiere tshark/tcpdump und leite dir per SSH den
> traffic  an deinen Laptop.

Sofern die Bandbreite auch mit SSH nicht überschritten wird, wäre es 
eine Möglichkeit.
Sinnvoller ist es aber definitiv, einfach einen Switch mit 
Port-Mirroring dafür zu nutzen - dann kannst du den Traffic auch bei 
voller Nutzung der Bandbreite vernünftig aufnehmen und analysieren, was 
dort schief geht.

c-hater schrieb:
> Einzige denkbare Erklärungen:
>
> 1) Hardware (Kabel/Konnektoren) Scheiße.

Zumindest den Punkt kannst du damit auch ausschließen. Saubere 
Verkabelung/Übergänge sind Voraussetzung - auch, wenn schlechte 
Trennstellen vllt. erst nach Jahren auffallen.

Andere Frage: Wie lang ist die zu Überwachende Leitung von Anfang bis 
Ende? - Ich meine damit, die längste Stelle zwischen zweit aktiven 
Geräten sowie die Anzahl der aktiven Geräte zwischen Start und Ziel!

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.