Sniffez du traffic Ethernet avec le Netsplit


Feb 08 2021

il y a 8 mois

271

Découvrez le couteau de poche suisse de l'inspection de trafic réseau

Netsplit est un "tap" Ethernet passif permettant la capture de paquets sur les liaisons Ethernet. Il tient dans la poche et ne nécessite aucune alimentation, ce qui le rend extrêmement facile et rapide à utiliser.


Dans cet article, nous explorerons l'utilisation du Netsplit à travers un exemple de scénario de base, ainsi que son fonctionnement technique.

Un peu de théorie avant de commencer

Avant de nous lancer, commençons par regarder comment le Netsplit fonctionne réellement.

Le Netsplit permet de connecter deux appareils réseau comme un simple câble, mais expose également les lignes de transmission de chaque appareil sur des ports RJ45 séparés. Ces ports «tap» sont en «écoute seule» : leurs lignes de transmission ne sont même pas câblées. Il n'y a donc aucun risque de contention sur la liaison Ethernet.

Les deux ports aux extrémités du Netsplit sont câblés entre eux comme un câble CAT5 standard.
Les deux autres ports situés au milieu du Netsplit ont leurs lignes de réception câblées aux lignes de transmission des deux premiers ports.

Pour arriver à cela, le Netsplit force les appareils en mode "10/100" (interdisant les communications à vitesse gigabit) également connu comme "Fast Ethernet", qui est bien adapté à la capture passive. Le sniffing Gigabit ne peut pas être fait passivement de cette manière. Pour cela, considérez plutôt le Skunk - tap & switch gigabit actif.

C'est parti

Avec ce que nous avons vu dans les explications ci-dessus, nous pouvons commencer par connecter le Netsplit à la place du câble réseau entre les deux appareils. Connectez les deux appareils sur les ports aux extrémités du Netsplit.

Cela permettra la communication entre les appareils mais la limitera au mode 10/100 ou "Fast Ethernet". Le résultat devrait ressembler exactement à l'image ci-dessus.

Nous savons que les deux ports au centre du Netsplit peuvent maintenant être utilisés pour sniffer les lignes de transmission de l'un ou l'autre appareil.

Cela signifie que nous pouvons effectivement connecter notre hôte "sniffer" à l'un de ces ports centraux "tap" pour commencer à capturer des paquets. Pour ce scénario, supposons que nous souhaitons capturer des paquets allant de l'hôte "A" (côté gauche) vers l'hôte "B" (côté droit).

Les ports de tap sont chacun placés au plus près du port pour lequel ils reflètent les lignes TX. Pour sniffer les paquets envoyés par l'hôte "A", nous pouvons utiliser le port central le plus proche. L'image ci-dessous illustre cet exemple de configuration.

Et c'est tout! Les paquets devraient maintenant être acheminés vers l'hôte "sniffer" connecté au port tap.
Il ne reste plus qu'à démarrer une session TCPdump ou Wireshark afin de capturer les paquets !

Allez voir ringtail.ch et commandez votre Netsplit aujourd'hui !

N'oubliez pas de vous abonner à la newsletter pour ne jamais manquer une info !