Как посмотреть трафик между двумя компьютерами через третий?

Question

[tschin]

Здравствуйте! Есть три компьютера (К1, К2, К3), объединенных в локальную сеть с помощью свитча. Между компьютерами К2 и К3 происходит сетевой обмен. Нужно его посмотреть. Что-либо поставить на К2 и К3 нет возможности. Через К1 сетевой обмен между К2 и К3, естественно, нельзя посмотреть.

Есть две идеи, как это сделать.

Убрать из сети свитч и через две сетевые карты на К1 соединить все три компьютера. К1 управляется линуксом.
Но встает вопрос, как это сделать?

Вторая идея, через какой-либо маршрутизатор или роутер на К1 зеркалировать трафик от К2 и К3.
Тут вопрос, как это сделать и какое самое дешевое оборудование на это способно?

Answer 1

[tschin]

В общем, сделал я на К1 мост в Линуксе из двух сетевых карт и смотрю wireshark'ом проходящий трафик.
Одна сетевая карта встроенная, другая - usb.
Чтобы увиделась usb, удалил файл /etc/udev/rules.d/70-persistent-net.rules, подключил usb сетевую карту, перезагрузился.
Потом по этому мануалу поднял мост

Answer 2

[ipc_ngs]

https://habrahabr.ru/post/94122/

Comments

[tschin]

интересно, попробую. Спасибо!

[ipc_ngs]

Можно еще использовать ettercap с аналогичными возможностями ARP-spoofing, securos.org.ua/ettercap-universalnyj-analizator-trafika

Answer 3

[CityCat4]

Для зеркалирования трафика достаточно свитча с его поддержкой. Самые дешевые естественно это не умеют. К работе маршрутизатора (он же роутер) зеркалирование отношение не имеет. Я бы поставил две сетевки и пустил трафик через линух. В линухе средств анализа трафика поболе будет, нежели в роутере.

Answer 4

[someday8]

Чем плох Wireshark? Если я правильно понял вопрос, через нормальный сниффер вполне можно писать трафик между двумя машинами с третьей машины.

Comments

[tschin]

тем, что свитч не дает увидеть пакетный обмен, если пакеты не тебе идут. Тут либо arp-spoofing, либо поднимать мост между обменивающимися компьютерами