• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Делаем Network tap своими руками или как проснифить сеть чтобы нас не засекли.

Нужно писать ещё статьи про Hardware игрушки ?

  • Да

    Голосов: 79 96.3%
  • Нет

    Голосов: 2 2.4%
  • Мне пофиг

    Голосов: 1 1.2%

  • Всего проголосовало
    82

qvin

Red Team
05.12.2016
194
266
#1
Статья для участия в конкурсе на codeby

Всем доброе время суток.
Давно мне стало как можно прослушать сетевой трафик и не засветиться в логах сетевого оборудования?

Так вот это можно сделать очень легко и быстро.
Давайте немного теории.

Network tap
Перехватчик трафика, сетевой тест-порт илиисетевой отвод (англ. Network tap) — аппаратное устройство, подсоединяемое непосредственно к кабелю компьютерной сети и создающее копию сетевого трафика для передачи другому устройству. Перехватчики трафика обычно использовались в системах обнаружения сетевых атак (NIDS), системах предотвращения вторжений (IPS), в сетевых пробниках и анализаторах трафика[1].

Давайте рассмотрим из чего состоит вообще витая пара.

001.jpg
У витой пары 4 жильной присутствуют 2 жилы:

Rx - прием данных
Tx - передача данных

Ну вот теперь мы знаем какие пины в витой паре за что отвечают.
Значит мы можем обрезать изоляцию витой пары и вклиниться в канал????
Можем но не совсем все так просто нужно знать как и куда подключать.

Давайте теперь будем пробовать собрать свою маленькую коробочку для прослушивания трафика.
И чтобы никто не узнал что мы их слушаем не провайдер не сами пользователи.
Возьмем два разветвителя " Siemon YT4-E2-U2"
В магазине они стоят копейки.


220466.jpg

И видим что у нас к каждому разъему под RJ45 подключено 4 жилы которые нам и нужны.
И получи вот такие разъемы.
IMG_20180123_123331.jpg

Теперь нам нужно правильно подключить их.
Сначала подключаем разъемы в которые будут подключаться кабеля от провайдера и пользователя.

Так и подключаем

1 <-> 1 (Бело-оранжевый)
2 <-> 2 (Оранжевый)
3 <->3 (Бело-зеленый)
6 <->6 (Зеленый)

Теперь если мы подключим с обоих сторон витые пары то у нас должен проходить сигнал и сеть(интернет) должен работать.
Если не заработало проверьте правильность подключений проводов в вашей скрутки.
Но чтобы мы могли прослушивать трафик который идет по этой витой паре нам нужно вот что сделать.
Берем у второго разветвителя 1 разъем RJ45 3 и 6 пин (ТОЛЬКО ЭТИ 2 ПРОВОДА) и подключаем к 1 и 2 пину который мы подключали выше.
У нас должно получиться
(От провайдера ) 1 < 3( проводов или разъем который будет слушать трафик) > 1 (К пользователю)
(От провайдера ) 2 < 6( проводов или разъем который будет слушать трафик) > 2 (К пользователю)
(От провайдера ) 3 < (Бело-зеленый) >3 (К пользователю)
(От провайдера ) 6 <(Зеленый) >6 (К пользователю)

Теперь мы сможем слушать только трафик который провайдер передает пользователю.
Чтобы прослушать передающий трафик нам нужно продолжить дальше.
Берем у второго разветвителя 2 разъем RJ45 3 и 6 пин (ТОЛЬКО ЭТИ 2 ПРОВОДА) и подключаем к 3 и 6 пину который мы подключали выше.
У нас должно получиться
(От провайдера ) 1 < 3( проводов или разъем который будет слушать трафик 1 разъем RJ45) > 1 (К пользователю)
(От провайдера ) 2 < 6( проводов или разъем который будет слушать трафик 1 разъем RJ45) > 2 (К пользователю)
(От провайдера ) 3 < 3( проводов или разъем который будет слушать трафик 2 разъем RJ45) >3 (К пользователю)
(От провайдера ) 6 <6( проводов или разъем который будет слушать трафик 2 разъем RJ45)>6 (К пользователю)

Теперь по второму разъему RJ45 мы сможем прослушать трафик который пользователь передает провайдеру.

Если я как то не понятно или не корректно объяснил простите.
Вот схемы подключения в картинках.

Ethernet Tap wiring diagram_14-03-47.png
tapdiagram.gif

Ноst A – это витая пара от провайдора.
Host B – Это витая пара к пользователю.

Tap A – прослушивает трафик который передеться от провадйора к пользователю.
Tap B – прослушивает трафик который передаеться от пользователю к провайдеру.

У меня в итоге получилось вот такая штука.
2018-01-23 13-26-21.JPG
2018-01-23 13-31-27.JPG

Ну что теперь давайте послушаем наш трафик.
Я буду делать это на Linux(kali linux)

Открываем терминал.
И вводим
Код:
ifconfig eth0 promisc
promisc- Включет неразборчивый режим интерфейса. Указанный интерфейс будет принимать из сети все пакеты.
snapshot1.png
Видим что у нашего интерфейса включился режим PROMISC
И как мы видим в RX bytes у нас гуляют пакеты это хорошо.
Запускаем Wireshark и заходим в Capture Interfaces и смотрим что да у нас передаются пакеты на нашем интерфейсе eth0
snapshot2.png

И как вы могли заметить мы не получали IP адрес значит нас некто не увидит в сети но мы увидим трафик всех.
Выбираем eth0, и стартуем Wireshark.

snapshot3.png

И вот весь трафик который идет по витой паре.
Хочу заметить что вы наблюдаете только за Rx или за Tx трафиком.

Чтобы слушать и входящий и исходящий трафик вам нужно 2 сетевые карты или же можно купить вот таков вот свисток USB- Ethernet
apple-usb-eth.jpg

Если вы запустите прослушивать Rx и Tx трафик то вам нужно будет в Wireshark выбрать 2 интерфейса для просмотра трафика.

Так же можно запустить и прослушивать трафик через tcpdump командой
Код:
tcpdump -i eth0 -w ./dump_tx.pcap -v
Спасибо за то что дочитали эту статью до конца.
Это значит что я не зря старался.
 

Вложения

z3r0c10wn

Well-known member
04.09.2017
105
204
#2
Ох какая старая фишка. Приятный флэшбэк! y-прожимки - как будь то вернулся в давно забытые года, когда ломали универскую сетку.
 

ugoday

New member
14.06.2017
4
2
#6
Статья хорошая 5+. Вопрос возникает после прочтения, если в разрез подключать, при условии, что цвет у проводов не будет, с экономили на утипихи и всё. Как тогда узнать tx vs rx :)
 

qvin

Red Team
05.12.2016
194
266
#7
Статья хорошая 5+. Вопрос возникает после прочтения, если в разрез подключать, при условии, что цвет у проводов не будет, с экономили на утипихи и всё. Как тогда узнать tx vs rx :)
Сколько я встречал utp кабель все жилы были цветные.
Как могли общаться с двух сторон utp кабель с бесцветными жилами и чтобы он ещё и работал?? :rolleyes:
 

avw

Member
27.07.2017
17
10
#8
если в разрез подключать, при условии, что цвет у проводов не будет, с экономили на утипихи и всё. Как тогда узнать tx vs rx
"Семь раз отмерь - один раз отрежь"
Прежде чем резать провода - прослушать траф крокодилами.
 
Последнее редактирование:

ugoday

New member
14.06.2017
4
2
#9
qvin поверь мне есть такие, и даже работают. [B]avw[/B] а если в производственном масштабе не встречал?
 

qvin

Red Team
05.12.2016
194
266
#11
Здравствуйте! А можете по подробнее, пожалуйста?
Ну можно купить вот такую плату
Для просмотра контента необходимо: Войти или зарегистрироваться
и припаять компоненты
Либо самому сделать по мануалу который указан выше из компонентов которые можно купить в любом компьютерном магазине
 
19.03.2017
13
12
#12
Это все кончено круто, но такая схема будет работать только на 100Mb/sec.
 
03.05.2018
11
5
#15
Спасибо за статью.
А что если мне наплевать на обнаружение и я хочу просто вклиниться в кабель параллельно.
Например есть комп и от него кабель до коммутатора. Я вскрываю этот кабель и паралельно цепляю своё устройство. Будет ли это работать? Или нужен концентратор?
 
Вверх Снизу