এনআইসিতে কীভাবে সমস্ত ইনকামিং প্যাকেট ক্যাপচার করা যায় এমনকি সেই প্যাকেটগুলিও আমার নিজের নয়

13

আফাইক, এনআইসি একটি লোকাল এরিয়া নেটওয়ার্কে তার থেকে সমস্ত প্যাকেট গ্রহণ করে তবে সেই প্যাকেটগুলি প্রত্যাখ্যান করে যাগুলির গন্তব্য ঠিকানা তার আইপি এর সমান নয়।

আমি এমন একটি অ্যাপ্লিকেশন বিকাশ করতে চাই যা ব্যবহারকারীদের ইন্টারনেট ব্যবহার পর্যবেক্ষণ করে। প্রতিটি ব্যবহারকারীর একটি নির্দিষ্ট আইপি ঠিকানা রয়েছে।

আমি এবং আরও কিছু লোক একটি ডিইএস -108 8-পোর্ট ফাস্ট ইথারনেট পরিচালনা না করা ডেস্কটপ সুইচ এর সাথে সংযুক্ত

যেমন আগেই বলা হয়েছিল আমি কেবলমাত্র আমার কাছে থাকা প্যাকেটগুলিই নয় সমস্ত ব্যবহারকারীর কাছ থেকে সমস্ত ট্র্যাফিকগুলি ক্যাপচার করতে চাই।

আমি কীভাবে আমার এনআইসি বা অন্যান্য উপাদানগুলিকে সমস্ত প্যাকেট পেতে বাধ্য করব?

linux networking packet

— m.r226
সূত্র

1

প্রায় 30 for এর জন্য একটি সস্তা এবং পরিচালিত সুইচ কিনুন এবং গেটওয়ের লিঙ্কে পোর্ট মিররিং সক্ষম করুন।

— ম্যাক্স রিড

27

আফাইক, এনআইসি একটি লোকাল এরিয়া নেটওয়ার্কে তার থেকে সমস্ত প্যাকেট গ্রহণ করে তবে সেই প্যাকেটগুলি প্রত্যাখ্যান করে যাগুলির গন্তব্য ঠিকানা তার আইপি এর সমান নয়।

সংশোধন: এটি সেই সমস্ত প্যাকেটগুলি প্রত্যাখ্যান করে যাগুলির গন্তব্য MAC ঠিকানা তার MAC ঠিকানার (অথবা মাল্টিকাস্ট বা তার ফিল্টারটিতে কোনও অতিরিক্ত ঠিকানা ) সমান নয় ।

প্যাকেট ক্যাপচার ইউটিলিটিগুলি তুচ্ছভাবে নেটওয়ার্ক ডিভাইসটিকে প্রমিসিউস মোডে রেখে দিতে পারে, যা বলা যায় যে উপরের চেকটি বাইপাস করা হয়েছে এবং ডিভাইস এটি প্রাপ্ত সমস্ত কিছুই গ্রহণ করে। আসলে, এটি সাধারণত ডিফল্ট: এর সাথে tcpdump, আপনাকে এটি না-p করার জন্য বিকল্পটি নির্দিষ্ট করতে হবে।

আরও গুরুত্বপূর্ণ সমস্যাটি হ'ল আপনি যে প্যাকেটগুলি আগ্রহী তা এমনকি আপনার স্মিফিং বন্দরে তারের নিচে নামানো হচ্ছে কিনা। যেহেতু আপনি একটি নিয়ন্ত্রণহীন ইথারনেট স্যুইচ ব্যবহার করছেন, সেগুলি প্রায় অবশ্যই নেই। আপনার নেটওয়ার্ক ডিভাইস সেগুলি দেখার আশা করার আগে স্যুইচটি আপনার পোর্টগুলি যে আপনার পোর্ট থেকে নেই তা ছাঁটাই করার সিদ্ধান্ত নিচ্ছে।

এটি করার জন্য আপনাকে একটি পরিচালিত ইথারনেট সুইচে একটি বিশেষভাবে কনফিগার করা মিররিং বা মনিটরিং পোর্টের সাথে সংযোগ স্থাপন করতে হবে।

— Celada
সূত্র

1

অথবা একটি ইথারনেট হাব ... আপনি যদি অ্যাটিকের মধ্যে কোনওরকম মরিচা পড়ে দেখতে পান :) আমি সন্দেহ করি যে 1000Base-T এর জন্য কিছু আছে তবে উইকিপিডিয়া বলেছে যে গিগাবিট হাবগুলি কেবলমাত্র অর্ধ দ্বৈত লিঙ্ককে সমর্থন করেছে এবং সেগুলি এখন অবচয় করা হয়েছে।

— chx

1

@ সিএইচএক্স, সমস্ত সত্য কেন্দ্রগুলি কেবল অর্ধ দ্বৈতকে সমর্থন করে। ব্যক্তিগতভাবে, আমি কখনই 1000 বেজ-টি দেখতে পাইনি।

— সেলেদা

আমি বিশ্বাস করি গিগাবিট ইথারনেটের ধীর গতিতে এটি করার ছিল - যদিও ৮০২.৩ এ্যাব স্ট্যান্ডার্ড ১৯৯৯ সালে প্রকাশিত হয়েছিল, ২০০৩/২০০৪ অবধি আপেল খুব ধীর ছিল যখন ইন্টেল প্রথমবার গিগাবিট ইথারনেটের জন্য ডেডিকেটেড সিএসএ বাসের সাথে 875 পি চিপসেটটি প্রকাশ করেছিল এবং তারপরে 2004 সালে পিসিআই এক্সপ্রেস গিগাবিট ইথারনেটের জন্য পরিশেষে পর্যাপ্ত ব্যান্ডউইদথ নিয়েছিল। এবং ততক্ষণে, সুইচগুলি যথেষ্ট সস্তা ছিল।

— chx

ইথারনেট স্যুইচ সবসময় ফ্রেম সম্প্রচার করবে না। ফ্রেমের ইউনিকাস্ট করার জন্য এটির নিজস্ব স্যুইচিং টেবিল (সুইচ পোর্ট এবং ম্যাকের ঠিকানা রয়েছে) রয়েছে contains যদি ফ্রেমটিতে ম্যাকের জন্য টেবিলটির কোনও প্রবেশপথ না থাকে, তবে এটি ফ্রেমটি সম্প্রচার / প্লাবিত করে। আপনার ডেস্কটপ কখনও অন্য ফ্রেম গ্রহণ করবে না। উত্তরের হিসাবে, আপনার স্যুইচটিতে উপস্থিত সমস্ত ফ্রেম ক্যাপচারের জন্য আপনাকে বিশেষ স্যুইচ ব্যবহার করতে হবে।

— ভালারপিরই

8

ইথারনেট হাবগুলির প্রথম দিকে (সুইচগুলি নয়) প্রেরিত প্যাকেটগুলি সাবনেটে সমস্ত হোস্টের জন্য উপলব্ধ, তবে যে হোস্টগুলি উদ্দেশ্যপ্রাপ্ত প্রাপক নয় তা এড়িয়ে যাওয়ার কথা।

স্পষ্টতই, সাবনেটস পরিপূর্ণ হতে খুব বেশি সময় নেয়নি, সুতরাং সমস্যাগুলি সমাধানের জন্য স্যুইচ প্রযুক্তির জন্ম হয়েছিল এবং তারা যে কাজ করেছিল তার মধ্যে একটি হল সেই হোস্টের জন্য কেবলমাত্র সেই রুটের প্যাকেটগুলি সেই বন্দরের কাছে নির্ধারিত করে (প্লাস অ্যান্ড ব্রডকাস্ট ট্রাফিক) )।

এটি নেটওয়ার্ক মনিটরিং / স্নিফিংকে জটিল করে তোলে কারণ আপনি কেবল আপনার হোস্টের জন্য থাকা প্যাকেটগুলি স্নিগ্ধ করতে পারেন। এটি সুরক্ষা দৃষ্টিকোণ থেকে একটি ভাল জিনিস হিসাবে বিবেচিত হয়েছিল, তবে একটি নেটওয়ার্ক পর্যবেক্ষণের দিক থেকে এটি এতটা ভাল নয়। নেটওয়ার্ক মনিটরিংয়ের কাজ করতে, বিক্রেতারা পোর্ট মিররিং নামে একটি বৈশিষ্ট্য প্রয়োগ করে। এটি নেটওয়ার্ক সুইচে কনফিগার করতে হবে, এবং নীচের লিঙ্কটি আপনাকে ডি-লিঙ্ক পণ্যগুলির জন্য সঠিক দিকে নির্দেশ করবে। আপনি এটি আপনার সুইচ পরিচালনা সফ্টওয়্যার বা ওয়েব অ্যাডমিন ইন্টারফেসের কোথাও পাবেন। আপনি যদি এই বৈশিষ্ট্যগুলি না খুঁজে পান তবে কার্যকারিতা সেই নির্দিষ্ট ডিভাইসে সরবরাহ করা নাও হতে পারে।

http://www.dlink.com/uk/en/support/faq/switches/layer-2-gigabit/dgs-series/es_dgs_1210_como_monitorear_trafico_de_un_puerto_port_mirroring

— টমাস কার্লিসল
সূত্র

2

প্রথমে আপনাকে আপনার এনআইসিকে প্রমিসিউস মোডে স্যুইচ করতে হবে। আসুন ধরে নেওয়া যাক আপনার এনআইসি ইন্টারফেসটি ইথ0 is

root@linux#ifconfig eth0 promesc

আপনি যদি একটি স্যুইচ নেটওয়ার্কে থাকেন তবে আপনার স্যুইচিং আপনার স্যুইচ পোর্টের সাথে সংঘর্ষের ডোমেনের সাথে সংযোগ হ্রাস পাবে। আপনি macofসুইচের ফরোয়ার্ডিং টেবিলকে ছাপিয়ে যেতে পারেন।

root@linux#macof -i eth0

তারপরে আপনি সমস্ত ট্র্যাফিক ব্যবহার করতে wiresharkবা tcpdumpক্যাপচার করতে পারেন।

root@linux#tcpdump -i eth0 -w outputfile

আপনি যদি একটি স্যুইচড নেটওয়ার্কে নেই, কেবল প্রমিসিউস মোড এবং ব্যবহার সক্ষম করুন tcpdump।

— আহমদ ছিবউব
সূত্র

1

tcpdumpআপনার জন্য প্রতারণামূলক মোড সক্ষম করবে। আপনাকে ম্যানুয়ালি এটি করার দরকার নেই (এবং এটি শেষ করার আগে মনে রাখবেন)।

— সেলেদা

0

আপনি চাকা পুনরুদ্ধার করছেন।

ধরে নিই আপনার কাছে ক্লায়েন্টগুলির সাথে ইন্টারনেটের একটি ডিফল্ট গেটওয়ের সাথে সংযোগ স্থাপনকারীদের সাথে একটি সাধারণ নেটওয়ার্ক রয়েছে, তবে আপনাকে কেবলমাত্র সেই ডিফল্ট গেটওয়ে ডিভাইসে নজরদারি করতে হবে। ল্যান ক্লায়েন্ট এবং ইন্টারনেটের মধ্যে সমস্ত ট্র্যাফিক দেখানোর জন্য এটি একটি দমবন্ধ হয়ে উঠবে।

আমি ধরে নিচ্ছি ল্যান ক্লায়েন্টের ল্যান ক্লায়েন্ট ট্র্যাফিকের পক্ষে আগ্রহ নেই, কারণ একই আইপি সাবনেটের ভিতরে সমস্ত আইপি ঠিকানা থাকলে স্থানীয় ট্রাফিক ডিফল্ট গেটওয়ে স্পর্শ করে না।

আপনি যদি সত্যই সমস্ত ট্র্যাফিক দেখতে চান তবে প্রতিটি ব্যবহারকারীর নিজস্ব আইপি নেটওয়ার্কে থাকা দরকার এবং অন্যান্য নেটওয়ার্কগুলিতে ট্র্যাফিক ডিফল্ট গেটওয়ে দিয়ে। আপনি প্রতিটি ব্যক্তিকে একটি / 28 বরাদ্দ করতে পারেন এবং তাদের নিজের কাছে 14 আইপি থাকতে পারে।

আপনার গড় হোম-গ্রেড রাউটার এটির বেশিরভাগটি পরিচালনা করবে না, আপনাকে ডেডিকেটেড ফায়ারওয়াল ডিস্ট্রো অন্বেষণ করতে হবে। ব্যক্তিগতভাবে pfsense আমার যেতে হবে, কিন্তু অনেক বিকল্প আছে।

— Criggie
সূত্র