Sniffer Routeur avec tcpdump ou wireshark

anon69676751 · Avril 16, 2017, 2:14pm

Bonjour,
Je cherche une commande pour sniffer ma box, voir tout ce qui sort, et ce qu’elle sort. ça serait intéressant de savoir ça.

angelique · Avril 17, 2017, 4:35pm

wireshark avec son gui en root

iftop -i interface* -P

tcpdump -i interface* -vv

interface* = eth0 ou eth1 ou wlan0 ça dépend de ta config

manu61 · Mai 16, 2017, 8:27pm

Salut

A mon sens la réponse d’angelique est un peu courte.
Wireshark est une très bonne idée, mais il faudrait pouvoir le lancer sur la box.

En effet, dans la mesure ou les postes sont sur un commutateur/switch, et la box en est un, chaque poste ne reçoit que le trafic qui le concerne, plus quelque bricole dont le broadcast. Lancer wireshark, ou autre, sur un poste ne nous fait voir que le trafic qui concerne ce poste. Sur les gros routeur pro il existe la possibilité de mettre un port en monitor. Le routeur envoie sur ce port tout le trafic. on peut alors branché un poste avec une interface en mode “Promiscuous” pour tout voir (avec wireshark). Une simple box ne sait pas faire cela.

A partir de là, tentative de soution

Pour voir ce qui sort de la box cotè FAI il faudrait pouvoir se mettre sur l’adsl. Je ne vois pas de solution simple.
Pour voir ce qui ce passe coté réseau local, ce n’est pas simple mais pas impossible.
On câble tous les postes sur un switch séparé de la box
On stop le Wi-Fi de la box. Le Wi-Fi passe directement pour que rien ne passe hors du switch précédent
On installe un vieux pc avec deux cartes réseau en mode bridge entre le switch et la box. Une debian est ce qu’il y a de mieux, toujours. Ainsi tous le trafic passe dans notre bridge et on peut l’analyser avec wireshark

Il y a peut être d’autre solution spécifique à chaque box, mais je pense que ce que je propose est toujours valable, même si c’est un peu complexe.

AnonymousCoward · Avril 19, 2017, 12:07pm

Tout à fait, un poste branché sur un switch ne reçoit que son trafic et le trafic appelé BUM traffic en anglais.

A l’opposé, un hub répète sur chaque port toutes les trames Ethernet entrantes. Ce qui permet de sniffer tout le trafic en se branchant simplement sur un port.

La quasi-totalité des boxs / points d’accès WiFi fonctionnent avec un “bridge” (CAD un switch Ethernet logiciel) entre le WiFi et le réseau Ethernet filaire.
Au final, qu’un ordinateur soit raccordé au WiFi ou à Ethernet ne fait aucune différence et désactiver temporairement le WiFi est donc une bonne idée.

On peut parfois faire en sorte qu’un switch se transforme en hub en saturant sa base de données indiquant sur quel port est situé telle ou telle adresse MAC, la Forwarding Database (FDB). Par exemple avec l’utilitaire macof du package dsniff .
Pour un bridge / switch virtuel sous Linux sur lequel on aurait la main, c’est aussi possible .

Mais bon, saturer un switch est une technique assez bourrin et non fiable. Il est beaucoup plus propre d’utiliser le mode bridge ainsi qu’expliqué dans la réponse précédente.

De nos jours, les boxs ont une interface Internet / WAN sur de l’ADSL, du VDSL2 ou de la fibre optique.
Mais du moment que le modem / ONT est séparé du routeur et relié par un câble réseau ou qu’il est branché sur un port SFP / SFP+, il est tout à fait possible d’intercaler un bridge sous Linux (ou même un vrai switch) entre la box et le modem.
Les accès ADSL et/ou VDSL utilisent soit le protocole PPPoE soit Ethernet tout court. Dans tous les cas, cela se capture / sniffe sans problèmes.

–
AnonymousCoward