J'ai un petit réseau local chez moi qui a deux ordinateurs connectés à un modem-routeur. Je veux capturer les paquets allant du routeur à un serveur spécifique (je connais l'adresse IP du serveur).
Le fabricant du routeur est D-Link.
Tout d'abord, vous devrez vous placer entre tout ce trafic. Vous pouvez le faire de différentes manières, la plus simple étant probablement d’identifier si vous avez vraiment besoin du trafic provenant des deux ordinateurs ou uniquement du trafic provenant d’un seul ordinateur.
Si vous avez besoin des deux, connectez les ordinateurs à un concentrateur, puis au routeur. Un concentrateur enverra tout le trafic réseau à tous les ports, alors qu'un commutateur ne l'enverra que vers sa destination.
Si vous ne disposez que d’un commutateur, vous pouvez configurer un ordinateur en guise de passerelle et diriger le deuxième ordinateur vers lui, mais c’est compliqué.
Si vous avez besoin de tout le trafic, même du routeur, placez un concentrateur après votre routeur et connectez-le à un ordinateur. Cela ne fonctionnera probablement que si le trafic que vous essayez de capturer ne provient pas de la machine que vous utilisez pour capturer les paquets, sinon vous allez courir dans à une configuration plus compliquée.
Une fois que tout le trafic passe par la carte réseau de votre ordinateur, saisissez un renifleur de paquets (je préfère en fait le Moniteur réseau Windows plutôt que Wireshark ) et commencez à récupérer les paquets. Vous voudrez probablement filtrer le trafic pour afficher uniquement le serveur en question. Les filtres dans Microsoft Network Monitor sont très conviviaux:
Si vous exécutez DD-WRT sur votre routeur domestique, vous pouvez exécuter tcpdump directement sur le routeur, la sortie étant ramenée sur votre système local pour un traitement ultérieur.
Un exemple:
ssh [email protected] -c "tcpdump -v -w - -i eth2" > mypackets.pcap
Appuyez simplement sur Ctrl-C lorsque vous avez terminé et chargez le fichier de capture dans votre outil d'analyse préféré tel que Wireshark.
À moins que les paquets ne proviennent du routeur lui-même (possible, mais peu probable), ils devraient provenir de l'un des ordinateurs connectés. Dans ce cas, vous pouvez utiliser un paquet-sniffer . SmartSniff est extrêmement facile à utiliser et peut être configuré pour capturer et/ou afficher uniquement les connexions vers/depuis une adresse IP, un port, etc.
Avec un routeur ou un commutateur de niveau entreprise, vous pouvez reproduire un port et utiliser un programme de capture de paquets tel que Wireshark ou Netmon. Avec un routeur d-link, il n’ya vraiment aucun moyen de le faire.
Une solution serait d’obtenir un concentrateur de réseau (pas un commutateur, mais un concentrateur) et de le placer sur votre réseau interne. Branchez ensuite la liaison montante du concentrateur sur un port de votre routeur. Vous venez de créer une situation dans laquelle tout le trafic entrant et sortant de votre réseau atteindra toutes les cartes réseau de votre ordinateur, car vous utilisez un concentrateur. Si vous faites cela, vous serez capable d'exécuter Wirehark ou Netmon en mode promiscuous et de capturer tout ce trafic. L'écriture d'un filtre pour isoler le trafic vers/depuis une adresse IP spécifique est triviale.