Работаю с сетями и возник один интересный вопрос, описываю ситуацию:
Есть L2 switch, с которого уходят клиенты посредством UTP 8p8c -> в разрыв врезано устройство (raspberry, orange, сервак, что угодно с двумя сетевыми eth0 и eth1) -> кабель приходит в оконечное устройство, на котором поднята PPoE авторизация (роутер, ПК).
Т.е. схема подключения посредством логин/пароль у типичного провайдера, но где-нибудь на линии врезано активное устройство, которое пропускает через себя трафик и сниффит его, что-то около атаки MITM.
Порты на свиче в изолированной группе, в своём влане.
Интересует именно сбор и анализ трафика со стороны клиента.
Возможно ли такое на практике, в общих чертах как может быть реализовано и вообще видел ли/делал ли кто-нибудь такое?
Лично не видел, но во время "провайдерских войн" внутри общаги одного вуза 20 дет назд аффилированный с одним из "провайдеров" товарищ вставил свой "сервер" в разрез магистрали другого провайдера и рандомно дроппал чуть-чуть пакетов... Был жостко наказан неблагодарными студентами, когда это вскрылось :)
Конечно можно, делаешь bridge между интерфейсами и ловишь всё что надо. Главное чтобы производительности хватило на весь трафик, шоб не спалиться на том, что гигабитный тариф не выдерживается...
shurshur, получается кидаешь бридж между портами на устройстве посередине и, допустим клиентская часть если уходит с eth1 то слушаешь именно его? Или весь бридж?
velosipedist, собираем тестовый стенд и пробуем tcpdump. Ну в целом я и так скажу, что слушать bridge, хотя на обоих интерфейсах будет ловиться всё то же самое...
velosipedist, да, кстати, если провайдер проверяет мак-адрес клиента на порту, то ещё надо будет показывать на интерфейсе в сторону провайдера такой же мак...
shurshur, тестировать на tcpdump строго или можно заюзать что угодно, типа wireshark и иже с ними?
upd. Т.е. ещё нужно будет клонировать/подменить мак? Авторизация вроде чисто логин/пасс PPoE, проверок или привязки по маку нет. По крайней мере, авторизация может проходить с любого устройства.
velosipedist, wireshark и tcpdump используют один и тот же системный интфейс к пакетам.
Про мак я поспешил, в бридже же будет виден мак исходного устройства, а спуфить на другом устрйостве даже хуже будет. Хотя если провайдер мак не смотрит, то ну и ладно. Но в любом случае, он в теории может спалить наличие на порту других маков, даже если они не будут светиться по IP. В некоторых случаях провайдеры следят, чтобы на порту больше одного мака не было.
Нет. Ну пароль и логин PPPoE вы перехватите, далее создастся тоннель между NAS провайдера и либо MITM либо клиентом. Образуется тоннель PPPoE, и тот, кто не успел в него влезть - будет видеть только херню и PAD* кадры ethernet type = 0x8863/0x8864 в вайршарке. Ничего более.
velosipedist, а я и не говорил ничего про пользование учеткой. Я сказал что даже если вы ее перехватите, трафик снифать не получится, так как кто первый поднял P2P тот и будет гонять шифрованные кадры
Сложный
