Хардварный сниффер?

Question

[Дмитрий Скогорев]

Доброго времени суток всем
Интересует готовый хардварный сниффер сетевых пакетов - самостоятельное устройство габаритами например с RPI и возможностью пропускать через себя прозрачно траффик и захватывать его

на картинке грозозащита - так у меня в голове видится данное устройство

есть ли готовые промышленные варианты или придётся самому извращаться с MiniPC и крокодильчиками?
Спасибо

Answer 1

[svd71]

Можно сказать, что есть.

Года три назад, когда ковырыл микроконтроллеры с enc28j60, обнаружил, чтхо эта пакость перехватывает абсолютно все пакеты от сети. Так что можно сказать, что есть: ардурино + езернет шилд к нему.

Comments

[Дмитрий Скогорев]

Интересует сквозной перехват - эзернет пришёл - эзернет ушел. соответственно чтобы не было своих маков - прослойка на кабеле

[svd71]

Маки я не смотрел. Сниферит абсолютно все. Я удивился тому, что мой роутер работает в режиме хаба, а не свича. Иначе объяснить прием пакетов между разными компами и адресованные совсем не этому устройству. Единственный минус: вся эта бодяга работает на довольно низкой скорости (атмел максимально можно 20МГц завести) и из стандартного обмена я использовал UART, что само по себе очень медленно. Но если в коде указать нужную фильтрацию, то выводятся только нужные фреймы (перехватываются все).

Answer 2

[nutaru]

Network Time Machine™ Комплексное устройство для с...

Answer 3

[Влад Животнев]

Ну ы. Любой линукс на миникомпутере с двумя портами, между портами - бридж, на бридж - tcpdump. Вопрос в том, куда это писать только.

Comments

[Дмитрий Скогорев]

то есть это именно "извращаться с minipc"

[Влад Животнев]

@EnterSandman там извращений на полчаса вместе с чтением мануалов по бриджу и тисипидампу.

Answer 4

[Дмитрий Скогорев]

hackerwarehouse.com/product/alfa-ap121u-802-11n-ap... вот идеальный вариант... где бы его в россии купить или аналог

Answer 5

[throughtheether]

Самый дубовый способ - passive ethernet tap, но это не подходит для случая 1000BASE-T (т.н. "гигабитный ethernet"). С другой стороны, практически любое устройство, работающее с гигабитным Ethernet, должно поддерживать и стамегабитный. Вот пример устройства. Плюсы - некая развязка, производительность сети не зависит от того, успеваете вы или нет обработать трафик. Кроме того, независимость от питания.

Если (и я не понимаю, почему) все-таки нужно захватывать трафик именно с гигабитного интерфейса, вот возможный вариант. Здесь есть минус - если вдруг устройство начнет работать аномально (или вообще перестанет работать), это повлияет на рабочий трафик в сети.

Comments

[Дмитрий Скогорев]

уже заказал альфу - можно воткнуть флешку и писать на неё дамп

[throughtheether]

Указанная вами карта хороша тем, что это, фактически, мини-компьютер (гибкость фильтрации и прочая), и плоха тем, что включается в "разрез" кабеля, потенциально влияя на производительность сети. Будем надеяться, у вас получится реализовать задуманное.