¿Cómo puedo capturar paquetes que van desde mi enrutador a un servidor específico?

12

Tengo una pequeña red local en mi casa que tiene dos computadoras conectadas a un enrutador de módem. Quiero capturar los paquetes que van del enrutador a un servidor específico (sé la dirección IP del servidor).

El fabricante del enrutador es D-Link.

router sniffing usuario664174
fuente
2
Instale wireshark en su "servidor".
HopelessN00b
Hay un par de formas de lograr esto. ¿Qué tipo de enrutador? ¿Tiene un centro (no un interruptor) que podría poner en línea. ¿Tiene acceso a un conmutador en el que podría hacer un intervalo de puertos? Puede usar SNORT en una PC y recolectar el tráfico colocándolo en línea entre el enrutador y el servidor. Hay MUCHAS respuestas para esto.
Everett
¿Se están iniciando las conexiones desde el enrutador o desde un sistema conectado al enrutador?
Synetech
la conexión es entre el enrutador y un servidor. en el enrutador hay un firmware que se conecta al servidor
user664174

Respuestas:

5

Primero tendrá que interponerse entre todo ese tráfico. Puede hacer esto de varias maneras, la más simple de las cuales probablemente sea identificar si realmente necesita el tráfico de ambas computadoras o solo el tráfico de una sola computadora.

Si necesita ambos, conecte las computadoras a un concentrador y luego al enrutador. Un concentrador enviará todo el tráfico de red a todos los puertos, donde un conmutador solo lo enviará a su destino previsto.

Si solo tiene un interruptor, supongo que podría instalar una computadora como puerta de enlace y apuntar la segunda computadora hacia él, pero eso es desordenado.

Si necesita todo el tráfico, incluso el enrutador, coloque un concentrador después del enrutador y conecte una computadora al mismo. Esto probablemente solo funcionará si el tráfico que intenta capturar no se origina en la máquina que está utilizando para capturar los paquetes, de lo contrario, se ejecutará con una configuración más desordenada.

Una vez que tenga todo el tráfico pasando por la NIC de su computadora, tome un sniffer de paquetes (en realidad prefiero Windows Network Monitor sobre Wireshark ) y comience a tomar los paquetes. Probablemente quiera filtrar el tráfico para mostrar el servidor en cuestión. Los filtros en Microsoft Network Monitor son muy fáciles de usar: ingrese la descripción de la imagen aquí

Tanner Faulkner
fuente
Necesito capturar la comunicación desde el enrutador (es firmware) a un servidor en Internet. Necesito capturar ambas direcciones.
user664174
¿Necesita ambas computadoras para poder generar tráfico también? Si puede conectar uno al concentrador después del enrutador y dejar que esté 'muerto' a la red que no sea la captura de paquetes, ese sería probablemente el camino a seguir. Un poco más de detalle podría no perjudicar exactamente lo que estás tratando de hacer. Parece extraño que necesite capturar este tráfico. Puede haber una mejor manera de lograr su objetivo subyacente.
Tanner Faulkner
mi isp puso agregado al enrutador un nuevo usuario con una contraseña que solo él conoce. lo hizo para que los usuarios puedan ir a una página de configuración creada por el ISP y configurar el enrutador. Me gustaría saber esa contraseña. así que el enrutador ha iniciado sesión desde el servidor de la isp y quiero capturar la comunicación. Creo que es asegurada, pero todavía quiero comprobar
user664174
Pensé que no estarías haciendo nada bueno. ;) Estaría dispuesto a apostar que no están enviando la contraseña sin descifrarla. Si desea acceder a su enrutador (es decir, ¿por qué no lo haría?), Probablemente sea mejor que compre el suyo y simplemente falsifique la dirección MAC del antiguo, en lugar de tratar de entrar en ese.
Tanner Faulkner
Puedo iniciar sesión en el enrutador pero quiero averiguar la contraseña.
user664174
10

Si ejecuta DD-WRT en su enrutador doméstico, puede ejecutar tcpdump directamente en el enrutador, con la salida devuelta a su sistema local para su posterior procesamiento.

Un ejemplo:

ssh [email protected] -c "tcpdump -v -w - -i eth2" > mypackets.pcap

Simplemente presione Ctrl-C cuando haya terminado y cargue el archivo de captura en su herramienta de análisis favorita, como Wireshark.

Michael Hampton
fuente
1
¿Cómo llego tcpdumpallí?
rakslice
Este comando ha sido mi favorito. hay muchas maneras, puede usar OPKG, IPKG o algún otro administrador de paquetes basado en enrutador. o tal vez pueda encontrar un tcpdump compilado mips / arms (en Internet) y ponerlo en el directorio de su enrutador o sistema de archivos temporal.
Valerio
0

Con un enrutador o conmutador de nivel empresarial, podría duplicar un puerto y usar un programa de captura de paquetes como wireshark o netmon para hacer esto. Con un enrutador d-link, realmente no hay forma de hacerlo.

Una solución sería obtener un concentrador de red (no un conmutador, sino un concentrador) y colocarlo en su red interna. Luego, conecte el enlace ascendente del concentrador a un puerto de su enrutador. Ahora ha creado una situación en la que todo el tráfico dentro y fuera de su red afectará a todas las NIC de su máquina, porque está utilizando un concentrador. Si hace esto, podrá ejecutar wireshark o netmon en modo promiscuo y capturar todo este tráfico. Escribir un filtro para aislar el tráfico hacia / desde una IP específica es trivial.

MDMarra
fuente
1
Es posible que pueda llenar la tabla de direcciones mac en el enrutador D-link para que se convierta en un concentrador y transmita sin pensar toda la basura en cada puerto.
Tom O'Connor
0

A menos que los paquetes se originen desde el enrutador (posible, pero poco probable), los paquetes deberían provenir de una de las computadoras conectadas. En este caso, puede usar un sniffer de paquetes . SmartSniff es extremadamente fácil de usar y se puede configurar para capturar y / o mostrar solo conexiones a / desde una IP específica, puerto, etc.

Synetech
fuente