[bglug] Cattura di pacchetti

[embyte]

> A è una macchina proprietaria intoccabile che utilizza un router per poter
> spedire dei pacchetti
> verso un host remoto che raccoglie questi pacchetti e li elabora.
> Ora, avrei esigenza di poter avere i pacchetti che A spedisce verso il
> router per poterli interpretare
> ed elaborare a mia volta. Il protocollo è noto.
>
> Ho pensato di mettere tra le due macchine un host linux per catturare i
> pacchetti, elaborarli per le mie
> esigenze ed allo stesso tempo continuare a trasmetterli verso l'host
remoto,
> ma in quel caso dovrei far sì
> che A veda come gateway la mia macchina Linux (non posso toccare nulla su
A)
> ed utilizzare Linux come
> forward verso il router. Allo stesso tempo, non posso nemmeno modificare
> l'ip del router, perchè fa parte
> del prodotto venduto e non ho modo di accedervi.
>
> Purtroppo gli ip delle due macchine proprio non posso toccarli. Ahimè, mi
è
> praticamente impossibile usare
> ettercap sull'host Linux che vorrei installare per catturare i pacchetti,
> che comunque avrei poi difficoltà
> ad elaborare se fossero in un file (non impossibile, ma comunque più
> macchinoso).
> Secondo voi esiste una soluzione al mio problema? Io la vedo veramente
molto
> dura, a meno di mettermi a
> scrivere qualcosa di molto simile ad ettercap che non faccia uso di
ncurses,
> ma anche qui i tempi si
> allungherebbero non di poco.
>
> Collegando una macchina all'hub, potrei comunque catturare i pacchetti che
A
> spedisce per il modo in cui
> un hub gestisce il traffico sulla rete, attraverso tcpdump? In teoria
tutti
> i pacchetti dovrebbero arrivare
> a tutte le macchine che io collegherò all'hub, poi verranno indirizzati
solo
> verso quella che è la macchina
> che stanno cercando. Sbaglio?

Allora, facciamo un pò di chiarezza:
Per leggere del traffico senza passare dal kernel, per esempio direttamente
da datalink non ti serve ettercap (o meglio: ettercap è sprecato e limitato
al tempo stesso perchè non ti fa il decoy dell'application layer). E'
sufficiente uno sniffer codato pazientemente, e qua ti consiglierei tcpdump
o ethereal (il secondo è in GTK).

Se colleghi una macchina all'hub questa riceve *tutto* il traffico che passa
per quel segmento di rete, quindi se setti la modalità promoscua sulla
scheda di rete (modalità in cui la scheda accetta i frame il cui destination
address a datalink layer non è il suo) puoi vedere tutto il traffico
A<->Router. Tale modalità è praticamente impostata di default su ogni
sniffer. Personalmente sceglierei per questa soluzione, la più veloce e la
meno intrusiva di tutte.

Giusto che siamo in argomento:
questa cosa non succede per gli switch in cui il traffico viene indirizzato
solamente alla porta verso cui è raggiungibile il destinatario (lo switch
lavora a layer 2 mantenendo una cache porta/address). Allora li devi giocare
in altro modo, e forse il più conosciuto è l'attacco man in the middle che
si realizza sporcando la cache arp del mittente (A); ed ettercap è il
miglior tool che implementa quest'attacco. Ma ripeto: a te non serve.

Al max. in giro trovi i tap passivi che ti sdoppiano il traffico (occhio che
molti han dei problemi...).

Se no, se potresti intervenire sulla macchina A ti complicheresti di meno la
vita, ma pare che tu questo non lo possa fare.

Visto che lo domandavi: ARP è un protocollo per cui l'implementazione delle
funzioni base di ARP è molto simile tra sistemi operativi diversi. Quindi
anche le due macchine gestiscono questo protocollo come un host linux.

Avrò scritto alla ufa, ma son alquanto stanco stasera.

Marco