¿Hay alguna forma (directamente desde una computadora o dispositivo) para ver los paquetes que pasan el enrutador desde los diferentes dispositivos? Gracias.
Sí, eso se llama "monitoreo de tráfico" y hay muchas herramientas para hacerlo (por ejemplo, wireshark es un excelente OSS paquete para eso).
Sin embargo, en muchos casos, a menos que pueda ejecutar el software de monitoreo directamente en su enrutador o en el dispositivo de destino, deberá usar algunos trucos especiales para asegurarse de que los paquetes que desea capturar lleguen a la interfaz que utilizar para el seguimiento. Dependiendo de sus necesidades y capacidades específicas, puede ser envenenar la caché ARP del interruptor entre los dispositivos, accediendo al interruptor monitoreando el puerto, reemplazando el switch por un hub, usando un Ethernet especial " pasivo" "(en el modo" barato, bricolaje, en realidad no necesito CAT5 / gigabit ") o incluso usando una toma de agregación de enlaces de un proveedor importante (en la categoría de negocio serio).
Sí, pero depende del enrutador.
En un enrutador de nivel empresarial que lo admita, puede crear un puerto duplicado , que replica todo el tráfico de un puerto seleccionado El puerto duplicado se conecta a algo que puede capturar el tráfico.
Ciertos tipos de equipos de seguridad de red especializados (por ejemplo, un dispositivo Fortigate ), que son esencialmente enrutadores con características adicionales , tener la inspección de paquetes y el registro incorporado. Solo necesita proporcionar un mecanismo de almacenamiento de algún tipo (por ejemplo, un servidor de base de datos compatible con SQL).
Si está utilizando un enrutador de nivel de consumidor, es posible que pueda usar un firmware alternativo para habilitar la duplicación de puertos . Este es un ejemplo que usa iptables, disponible en algunas versiones de firmware de Tomate .
En efecto, lo que quería hacer es configurar un puerto SPAN en el wifi Tomoto mundo. Así es como lo hice:
Habilite el módulo ipt_ROUTE: si esto no funciona, actualice su Firmware a algo más reciente.
/sbin/modprobe ipt_ROUTEReemplace iptomirror con la IP del dispositivo iPhone / wifi que desea escucha a. Reemplace iptosendto con la IP de la computadora en ejecución tcpdump / Wireshark.
iptables -A PREROUTING -t mangle -d iptomirror -j ROUTE --gw iptosendto --tee
iptables -A PREROUTING -t mangle -s iptomirror -j ROUTE --gw iptosendto --tee
iptables -A POSTROUTING -t mangle -d iptomirror -j ROUTE --gw iptosendto --tee
iptables -A POSTROUTING -t mangle -s iptomirror -j ROUTE --gw iptosendto --teeLos 4 comandos anteriores aprovechan la opción --tee proporcionada por ipt_ROUTE kernel module y lo hará:
- Encuentre cualquier paquete con la IP de origen / destino de iptomirror, luego
- Duplique ambas clases de paquetes de paquetes y envíe una copia a iptosendto
Estos comandos deberían hacer el truco para detectar el tráfico no solo para iPhones, pero para cualquier dispositivo conectado a un enrutador Tomato (y posiblemente DD-WRT, pero no lo he intentado). Si estas teniendo problemas Verifique que el módulo ipt_ROUTE esté cargado:
lsmod | grep iptY revisa tus reglas en las tablas mangle:
iptables -L -t mangle
Lea otras preguntas en las etiquetas packet