Делаем Network tap своими руками или как проснифить сеть чтобы нас не засекли.

Всем доброе время суток.

Давно мне стало как можно прослушать сетевой трафик и не засветиться в логах сетевого оборудования?

Так вот это можно сделать очень легко и быстро.

Давайте немного теории.

Network tap

Перехватчик трафика, сетевой тест-порт илиисетевой отвод (англ. Network tap) — аппаратное устройство, подсоединяемое непосредственно к кабелю компьютерной сети и создающее копию сетевого трафика для передачи другому устройству. Перехватчики трафика обычно использовались в системах обнаружения сетевых атак (NIDS), системах предотвращения вторжений (IPS), в сетевых пробниках и анализаторах трафика.

Давайте рассмотрим из чего состоит вообще витая пара.

У витой пары 4 жильной присутствуют 2 жилы:

Rx - прием данных

Tx - передача данных

Ну вот теперь мы знаем какие пины в витой паре за что отвечают.

Значит мы можем обрезать изоляцию витой пары и вклиниться в канал????

Можем но не совсем все так просто нужно знать как и куда подключать.

Давайте теперь будем пробовать собрать свою маленькую коробочку для прослушивания трафика.

И чтобы никто не узнал что мы их слушаем не провайдер не сами пользователи.

Возьмем два разветвителя " Siemon YT4-E2-U2"

В магазине они стоят копейки.

И видим что у нас к каждому разъему под RJ45 подключено 4 жилы которые нам и нужны.

И получи вот такие разъемы.

Теперь нам нужно правильно подключить их.

Сначала подключаем разъемы в которые будут подключаться кабеля от провайдера и пользователя.

Так и подключаем

1 <-> 1 (Бело-оранжевый)

2 <-> 2 (Оранжевый)

3 <->3 (Бело-зеленый)

6 <->6 (Зеленый)

Теперь если мы подключим с обоих сторон витые пары то у нас должен проходить сигнал и сеть(интернет) должен работать.

Если не заработало проверьте правильность подключений проводов в вашей скрутки.

Но чтобы мы могли прослушивать трафик который идет по этой витой паре нам нужно вот что сделать.

Берем у второго разветвителя 1 разъем RJ45 3 и 6 пин (ТОЛЬКО ЭТИ 2 ПРОВОДА) и подключаем к 1 и 2 пину который мы подключали выше.

У нас должно получиться

(От провайдера ) 1 < 3( проводов или разъем который будет слушать трафик) > 1 (К пользователю)

(От провайдера ) 2 < 6( проводов или разъем который будет слушать трафик) > 2 (К пользователю)

(От провайдера ) 3 < (Бело-зеленый) >3 (К пользователю)

(От провайдера ) 6 <(Зеленый) >6 (К пользователю)

Теперь мы сможем слушать только трафик который провайдер передает пользователю.

Чтобы прослушать передающий трафик нам нужно продолжить дальше.

Берем у второго разветвителя 2 разъем RJ45 3 и 6 пин (ТОЛЬКО ЭТИ 2 ПРОВОДА) и подключаем к 3 и 6 пину который мы подключали выше.

У нас должно получиться

(От провайдера ) 1 < 3( проводов или разъем который будет слушать трафик 1 разъем RJ45) > 1 (К пользователю)

(От провайдера ) 2 < 6( проводов или разъем который будет слушать трафик 1 разъем RJ45) > 2 (К пользователю)

(От провайдера ) 3 < 3( проводов или разъем который будет слушать трафик 2 разъем RJ45) >3 (К пользователю)

(От провайдера ) 6 <6( проводов или разъем который будет слушать трафик 2 разъем RJ45)>6 (К пользователю)

Теперь по второму разъему RJ45 мы сможем прослушать трафик который пользователь передает провайдеру.

Если я как то не понятно или не корректно объяснил простите.

Вот схемы подключения в картинках.

Ноst A – это витая пара от провайдора.

Host B – Это витая пара к пользователю.

Tap A – прослушивает трафик который передается от провадора к пользователю.

Tap B – прослушивает трафик который передается от пользователю к провайдеру.

У меня в итоге получилось вот такая штука.

Spoiler

Ну что теперь давайте послушаем наш трафик.

Я буду делать это на Linux(kali linux)

Открываем терминал.

И вводим

ifconfig eth0 promisc

promisc- Включает неразборчивый режим интерфейса. Указанный интерфейс будет принимать из сети все пакеты.

Видим что у нашего интерфейса включился режим PROMISC

И как мы видим в RX bytes у нас гуляют пакеты это хорошо.

Запускаем Wireshark и заходим в Capture Interfaces и смотрим что да у нас передаются пакеты на нашем интерфейсе eth0

И как вы могли заметить мы не получали IP адрес значит нас некто не увидит в сети но мы увидим трафик всех.

Выбираем eth0, и стартуем Wireshark.

И вот весь трафик который идет по витой паре.

Хочу заметить что вы наблюдаете только за Rx или за Tx трафиком.

Чтобы слушать и входящий и исходящий трафик вам нужно 2 сетевые карты или же можно купить вот таков вот свисток USB- Ethernet

Если вы запустите прослушивать Rx и Tx трафик то вам нужно будет в Wireshark выбрать 2 интерфейса для просмотра трафика.

Так же можно запустить и прослушивать трафик через tcpdump командой

tcpdump -i eth0 -w ./dump_tx.pcap -v

Спасибо за то что дочитали эту статью до конца. 

Это значит что я не зря старался. Источник