Kaufempfehlung für Netzwerksniff

  • Hallo zusammen,


    seit nun einigen Tagen habe ich versucht, mit einem Banana Pi R2 einen Sniff durchzuführen.

    Leider vergebens. Ich habe dazu bereits Kontakt mit verschiedenen Profis aufgenommen.


    Ich habe vor, den Netzwerktraffic zwischen zwei Netzen zu sniffen. Dazu würde ich gerne unter Debian das Tool tcpdump nutzen.

    An dieser Stelle möchte ich euch natürlich nicht meine künstlicheren Fähigkeiten vorenthalten:




    Was habe ich also vor?

    Gegeben ist die gezeigte Infrastruktur. Topologien der Netzwerke sind uninteressant.

    Nun möchte ich gerne wissen, welche Kommunikationen (TCP wie UDP) zwischen den Netzen (WAN und LAN) stattfinden.

    Ich habe vor, die beiden Ports (LAN und USB) über eine Bridge zu verbinden und dann auf der Bridge den Traffic zu sniffen.



    Da ich mit dem Banana Pi R2 nicht weiterkomme, da ich den Traffic nicht sehe (Layer3), habe ich nun die Hoffnung, mit dem Raspberry das zu erreichen, was ich vor habe.

    Ebenfalls habe ich gesehen, dass es für den Pi einen Bildschirm gibt. Es wäre gut, wenn ich diesen Bildschirm auf dem Pi verwenden würden.

    Entsprechend benötige ich ein Gehäuse, welches für mein Vorhaben passt.


    Nun würde ich mich sehr freuen, wenn ihr mir Kaufempfehlungen geben könntet. Am besten alles von einem Lieferanten.



    Vielen Dank und beste Grüße!

    Mit freundlichen Grüßen,

    Michael Kraus

  • Ich habe vor, die beiden Ports (LAN und USB) über eine Bridge zu verbinden und dann auf der Bridge den Traffic zu sniffen.

    Da ich mit dem Banana Pi R2 nicht weiterkomme, da ich den Traffic nicht sehe (Layer3), habe ich nun die Hoffnung, mit dem Raspberry das zu erreichen, was ich vor habe.

    Ich denke nicht, dass der PI hier besser sein wird als der BananaPI. Denn bridge bleibt bridge und damit kannst Du nur den Layer2-Traffic sehen. Evtl. sniffst Du außerhalb von der bridge, für den >/= Layer3-Traffic.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Von welchem Traffic-Aufkommen reden wir hier?

    Auf die Idee ein Smartphone als Sniffer bei einem "Hoster" einzusetzen muss man auch erst mal kommen ...


    Da ich mit dem Banana Pi R2 nicht weiterkomme, da ich den Traffic nicht sehe (Layer3), habe ich nun die Hoffnung, mit dem Raspberry das zu erreichen, was ich vor habe.

    was veranlasst Dich zu dieser Annahme?


    cu,

    -ds-

  • Ich denke nicht, dass der PI hier besser sein wird als der BananaPI. Denn bridge bleibt bridge und damit kannst Du nur den Layer2-Traffic sehen. Evtl. sniffst Du außerhalb von der bridge, für den >/= Layer3-Traffic.

    Nein, denn hier ist der Aufbau der CPU anders, soweit ich das mitbekommen habe. Und hier gibt es keinen Switch-Chip.

    Aber, da ich in diesem Gebiet kein Kenner bin, frage ich hier nach.


    Von welchem Traffic-Aufkommen reden wir hier?

    Circa 10-20 Clients im LAN.

    Wie viele Sitzungen und Pakete es im Endeffekt sind, kann ich nicht sagen.


    Auf die Idee ein Smartphone als Sniffer bei einem "Hoster" einzusetzen muss man auch erst mal kommen ...

    Und wer genau sagt, dass es bei einem "Hoster" zum Einsatz kommt? ...


    was veranlasst Dich zu dieser Annahme?

    External Content www.youtube.com
    Content embedded from external sources will not be displayed without your consent.
    Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.

    Mit freundlichen Grüßen,

    Michael Kraus

  • Nein, denn hier ist der Aufbau der CPU anders, soweit ich das mitbekommen habe. Und hier gibt es keinen Switch-Chip.

    Wo hast Du das mitbekommen bzw. gelesen?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Wo hast Du das mitbekommen bzw. gelesen?


    Querbeet durch das Netz. Ist dem denn nicht so?


    Das heißt also, es funktioniert ist?

    Laut des Videos sollte es wunderbar funktionieren?


    Beste Grüße

    Mit freundlichen Grüßen,

    Michael Kraus

  • Ist dem denn nicht so?

    Das weiß ich nicht. Evtl. wissen es andere Forum-Benutzer.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Aber das ist doch auch gar nicht relevant, oder?

    Frage ist ja vielmehr, ob das mit dem Raspberry so funktioniert und, um auf das Thema zurück zukommen, welche Hardware nötig ist :)


    Beste Grüße

    Mit freundlichen Grüßen,

    Michael Kraus

  • ... / Erfahrungen / ...

    Siehe z. B. auch diesen Thread im UU.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Wireshark ist doch eigentlich das Mittel, um Netzwerkverkehr selbst unter Layer1 zu überwachen.

    Ansonsten kannst du deinen Router auch so einstellen, dass er den Netzwerkverkehr protokolliert. Kann grundsätzlich jeder Router, der ne Firewall hat.

  • Wenn man Layer2 bekommt, dann muss das Paket über Layer1 gehen. Daher ist alles abwärts ersichtlich.


    Ich habe mir nun mal den Pi bestellt und schaue mal, ob das so klappt, was ich vor habe.

    Mein Vorhaben ist ja eigentlich nicht so exotisch; ich dachte, dass hätte schon mal jemand gemacht :)


    Ich berichte dann hier.


    Beste Grüße

    Mit freundlichen Grüßen,

    Michael Kraus

  • Ok, da gehe ich einig, dass ich erkennen kann, über Welche Netzwerkkarte es ging.

    Aber das Medium als solches, was ja Layer 1 wäre, sehe ich nicht.

    Also bei z.B. einer virtuellen Netzwerkkarte erkenne ich nicht, ob es nachher über Kabel, Glas oder Funk ging.


    Grüsse

    Peter

  • Layer 1 siehst du wenn du dir LED an den Netzwerkstecker lötest oder in das Glasfaserkabel schaust (Licht an/aus).

    Ab Layer2 kannst du Sniffern.


    Bau den Pi nicht als Bridge auf sondern lass den Kernel routen.

    Falls du eine Fritzbox hast kannst du das gleich die FB erledigen lassen. Da kannst du einen DUMP aus der Gui ziehen.

    http://fritz.box/html/capture.html

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?


    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Du kannst im begrenzten Maß auch sehen ob Wlan, Label oder LWL in der Verbindung liegt, weil du die Schnittstellen siehst. Das könnte man aber tatsächlich mit Virtualisierung faken. Aber du willst ja laut Zeichnung dein eigenes Netz überwachen, da solltest du eigentlich wissen, was wo liegt. Wenn du den Sniffer nicht zwischen dein Netz setzten willst kannst du am Switch auch einen Port als Mirror festlegen, darüber siehst du dann auch den kompletten Verkehr, der über diesen Switch läuft. Bei der Fritzbox geht das relativ einfach.