Hallo zusammen, ich suche ein Tool was meine "Normale Netzwerkkarte" in einen zuhör Modus versetzt. Bei Aircrack-ng geht das ja für WLAN. Nur möchte ich das auch mit dem Kupferkabel machen. Hintergrund: Ich möchte die Verbindung zwischen zwei Routern überprüfen. Mit 100Mbit ist das einfach, 2 Netzwerkkarten jehweils mit empfangen anschließen. Aber wie geht das mit Gigabit? Da braucht es alle 8 Adern, und es wird ja ausgehandelt welche Leitung wo für ist. Gibt es trotzdem eine möglichkeit passiv mitzuhören? Und nein, ein TAP kommt nicht in frage, der ist Aktiv und handelt auf beiden Seiten aus. Danke schon mal für Antworten und Anregungen
Marco K. schrieb: > Ich möchte die Verbindung zwischen zwei Routern überprüfen. > Mit 100Mbit ist das einfach, 2 Netzwerkkarten jehweils mit empfangen > anschließen. Könntest du erklären, wie du das meinst? Wo schließt du denn zwei Netzwerkkarten und zwei Router an einem Kabel an?
Bei beiden Netzwerkkarten nur die Empfangsleitung jehweils an die Sendeleitung der Verbindung zwischen den Routern. Router1 Senden ------------------------Router2 Empfangen | | Netzwerkkarte1 Router1 Empfangen ------------------------Router2 Senden | | Netzwerkkarte2 Wirklich Kabel auftrennen und parrallel anklemmen also
Das parallele Anklemmen eines Rx-Ports ist elektrisch aber Pfusch, weil doppelte Terminierung und ein Stub daraus resultieren. Beides (zer)stört die Signalqualität durch Reflexionen. Die saubere bzw. überhaupt funktionierende Alternative ist, entweder einen aktiven Tap-Adapter zum Anzapfen zu verwenden (sowas werden die wenigsten zur Verfügung haben) oder einfach am Switch ein Port Monitoring (Port Mirroring) zu aktivieren, was natürlich einen managed Switch bzw. zumindest einen Smart-Switch erfordert. Geeignete Smart-Switches mit 5 Ports gibts um 40€. Dann hängt man sich mit einem Rechner mit Wireshark auf den Mirror-Port, während jener im Switch so konfiguriert wird, daß er die Daten vom zu beobachtenden Port spiegelt.
:
Bearbeitet durch User
Marco K. schrieb: > Michael Gugelhupf schrieb: >> Wireshark > > Das ist mir klar, nur mit Gigabit funktioniert das nicht. Das muss ich sofort meinem Netzwerkanschluss mitteilen. ;-) Also das er aufhören soll sich von Wireshark belauschen zu lassen. Und das ist sogar ein 2½ GBit Teil. Läuft aber zZ nur mit 1GBit.
Norbert schrieb: > Das muss ich sofort meinem Netzwerkanschluss mitteilen. ;-) > Also das er aufhören soll sich von Wireshark belauschen zu lassen. Es geht darum, Daten abzufangen, die nicht an deinen Rechner addressiert oder von ihm versendet werden. Marco K. schrieb: > Bei beiden Netzwerkkarten nur die Empfangsleitung jehweils an die > Sendeleitung der Verbindung zwischen den Routern. Danke für die Erklärung
Ups, sehe gerade du willst dich parallel draufhängen. Dann ignoriere meinen Post bitte.
Thorsten S. schrieb: > Das parallele Anklemmen eines Rx-Ports ist elektrisch aber Pfusch, weil > doppelte Terminierung und ein Stub daraus resultieren. Beides (zer)stört > die Signalqualität durch Reflexionen. Das ist mir schon klar ;-) Es geht mir aber darum herraus zu finden warum die beiden Teilnehmer ständig ihre Verbindung neu Aushandeln und wir einbrüche in der Kapazität bekommen. Ach ja und das Fehlerbild trit mit und ohne Anklemmen auf.
:
Bearbeitet durch User
Norbert schrieb: > Marco K. schrieb: >> Michael Gugelhupf schrieb: >>> Wireshark >> >> Das ist mir klar, nur mit Gigabit funktioniert das nicht. > > Das muss ich sofort meinem Netzwerkanschluss mitteilen. ;-) > Also das er aufhören soll sich von Wireshark belauschen zu lassen. > Und das ist sogar ein 2½ GBit Teil. Läuft aber zZ nur mit 1GBit. Es ging nicht ums Belauschen des PC-Ports mit Wireshark, sondern ums Belauschen einer Verbindung zwischen zwei Netzwerkteilnehmern von denen der PC mit Wireshark keiner ist. Der Switch sorgt dafür, daß die Pakete der zu belauschenden Verbindung nur an den beiden Ports der Teilnehmer auftauchen und nicht am PC, der da lange lauschen kann ... Das setzt ein Tapping voraus, und passives Tapping geht nicht bei Gigabit Ethernet. Ein Switch mit Port-Mirroring löst dieses Problem.
Thorsten S. schrieb: > Das setzt ein Tapping voraus, und passives Tapping geht nicht bei > Gigabit Ethernet. Danke genau das wollte ich wissen. Mit dem TAP verfälsche ich ja die Aushandlung und so weiter.
Thorsten S. schrieb: > Ein Switch mit Port-Mirroring löst dieses Problem. Das haben wir schon gemacht, aber wir können nicht erkennen warum ständig die Verbindung neu ausgehandelt wird. Mit TAP dazwischen treten die Fehler nicht auf ;-)
Nimm einen Smart-Switch mit Mirroring, dann bekommste sogar beide Richtungen Rx und Tx vom gemirrorten Port auf deinen Schnüffelrechner mit Wireshark.
Marco K. schrieb: > Aber wie geht das mit Gigabit? > Da braucht es alle 8 Adern, und es wird ja ausgehandelt welche Leitung > wo für ist. Das ist falsch. Alle vier Adernpaare werden sowohl zum Senden als auch zum Empfangen verwendet. In jedem PHY ist ein Signalprozessor, der auf jedem Adernpaar Echo Cancelling macht, d.h. er subtrahiert das gesendete Signal plus dessen Echos vom empfangenen Signal und bekommt nur so heraus, was die Gegenseite gesendet hat. Wenn Du in der Mitte mithörst, hast Du nur das Summensignal, das Du nicht auftrennen kannst. Echo Cancelling geht eben nur in den PHYs selber, weil nur die sowohl das Sendesignal als auch das Empfangssignal haben. Daher: > Gibt es trotzdem eine möglichkeit passiv mitzuhören? Nein, aus den oben genannten Gründen kann es das nicht geben. fchk
Marco K. schrieb: > Thorsten S. schrieb: >> Ein Switch mit Port-Mirroring löst dieses Problem. > > Das haben wir schon gemacht, > aber wir können nicht erkennen warum ständig die Verbindung neu > ausgehandelt wird. Mit TAP dazwischen treten die Fehler nicht auf ;-) Dann müsst Ihr eben anfangen, Hardware auf Verdacht zu tauschen. Anders geht es nicht. Defekte Netzwerkports sind im Übrigen so selten nicht. fchk
Frank K. schrieb: > Defekte Netzwerkports sind im Übrigen so selten nicht. Frank K. schrieb: > Alle vier Adernpaare werden sowohl zum Senden als auch zum Empfangen > verwendet. In jedem PHY ist ein Signalprozessor, der auf jedem Adernpaar > Echo Cancelling macht, d.h. er subtrahiert das gesendete Signal plus > dessen Echos vom empfangenen Signal und bekommt nur so heraus, was die > Gegenseite gesendet hat. > > Wenn Du in der Mitte mithörst, hast Du nur das Summensignal, das Du > nicht auftrennen kannst. Echo Cancelling geht eben nur in den PHYs > selber, weil nur die sowohl das Sendesignal als auch das Empfangssignal > haben. Vielen Dank Frank K. Jetzt weiß ich endlich warum es nicht geht. Dann müssen wir den Hersteller mal kontaktieren. Ist ärgerlich wenn im Projekt regelmäßig das Kamerabild ausfällt und das wegen 2 Blöden Routern.
OpenWRT Router: Installiere tshark/tcpdump und leite dir per SSH den traffic an deinen Laptop. Kabel auswechseln wirkt auch manchmal Wunder.
Marco K. schrieb: > Es geht mir aber darum herraus zu finden warum die beiden Teilnehmer > ständig ihre Verbindung neu Aushandeln und wir einbrüche in der > Kapazität bekommen. Einzige denkbare Erklärungen: 1) Hardware (Kabel/Konnektoren) Scheiße. 2) Hardware oder Firmware des NIC-Chips fehlerhaft. 1) ist mindestens eine Million Mal wahrscheinlicher als 2)... Und übrigens: Damit, dass du den NIC-Chip in den Promisc-Modus bringst, wirst du daran rein garnix ändern und auch keine neuen Erkenntnisse gewinnen können. Das, was da schief läuft, passiert unterhalb von Layer2. Kein Ethernet-Snoop-Tool bekommt davon irgendetwas mit. Um von diesem Kram etwas mitzubekommen, musst du mit heftiger (und entsprechend teurer) Hardware ran. Oder an die Debug-Schnittstellen der NIC-Chips. So ca. ab einer Million USD Einsatz und gegen Abschluss eines NDA bekommst du vermutlich tatsächlich Zugriff darauf...
Georg S. schrieb: > OpenWRT Router: Installiere tshark/tcpdump und leite dir per SSH den > traffic an deinen Laptop. Sofern die Bandbreite auch mit SSH nicht überschritten wird, wäre es eine Möglichkeit. Sinnvoller ist es aber definitiv, einfach einen Switch mit Port-Mirroring dafür zu nutzen - dann kannst du den Traffic auch bei voller Nutzung der Bandbreite vernünftig aufnehmen und analysieren, was dort schief geht. c-hater schrieb: > Einzige denkbare Erklärungen: > > 1) Hardware (Kabel/Konnektoren) Scheiße. Zumindest den Punkt kannst du damit auch ausschließen. Saubere Verkabelung/Übergänge sind Voraussetzung - auch, wenn schlechte Trennstellen vllt. erst nach Jahren auffallen. Andere Frage: Wie lang ist die zu Überwachende Leitung von Anfang bis Ende? - Ich meine damit, die längste Stelle zwischen zweit aktiven Geräten sowie die Anzahl der aktiven Geräte zwischen Start und Ziel!
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.