Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
Passiv TAP Problem

geschrieben am 23.06.2009 um 15:18 von it-freak

Hallo,
nachdem ich nun mehrere Stunden mit Recherche und Tests verbracht habe versuche ich mal hier Hilfe zu finden.

Ich habe einen passiven TAP gebaut, habe aber das Problem, dass das Interface am Laptop auf dem Wireshark läuft nicht hochkommt...

Damit erkennt Wireshark keine Packets = kein Sniff :-(

Kann das Tool evtl. nur mit Linux eingesetzt werden?
Brauche ich spezielle HW um das IF zu aktivieren?

Bin ich einfach zu doof???

Danke für Eure Tipps
 

geschrieben am 23.06.2009 um 16:00 von Otaku19

natürlich läuft wireshark auch auf Windows, wenn das Interface nicht "up" kommt kann allerdings Wireshark nix dafür, da hast noch irgendwo nen Hund drin, am ehesten beim Tap oder evtl. ne defekte NIC.
 

geschrieben am 23.06.2009 um 21:07 von Mirko

Nach welcher Anleitung hast Du den Tap verdrahtet? Die Teile gehen in der Regel nicht für Gigabit Ethernet.

Mirko
 

geschrieben am 24.06.2009 um 08:30 von it-freak

Hallo,
Danke erst mal für die Antworten.

@ Otaku19: NIC funktioniert definitiv, Wireshark sniffen funktioniert auch an einem HUB oder einfach so am gleichen IF

@Mirko
Verdrahtung enstpricht der Anleitung auf:

http://www.sun.com/bigadmin/content/submitted/passive_ethernet_tap.html
was der ursprünglich mal bei Snort eingestellten Anleitung entspricht

Für mein Verständnis sind laut der Skizze
1. Host A und Host B mit einem geraden Patch-Kabel verbunden.
2. TAP A ist parallel mit "RX+" auf "TX+" v. Host A
und "RX-" auf "TX-" v. Host A aufgeschaltet.
3. TAP B ist parallel mit "RX+" auf "TX+" v. Host B
und "RX-" auf "TX-" v. Host B aufgeschaltet.

Meine erste Vermutung war, dass Autoneg. nicht funktionieren kann wenn am IF nur RX- ankommt.
Wenn ich das IF fest auf 10 oder 100 Mbps full oder halfduplex einstelle,
blinkt das IF zwar, aber Wireshark "sieht" trotzdem keien Pakete

Vielleicht sollte ich noch erwähnen dass ich vo Host A nach Host B einen Dauerping sende.
Für mein Verständnis sollte ich dann an TAP A ICMP-Requests und an TAP B ICMP-Replies sehen...

Any Ideas???

Meik
 

geschrieben am 01.07.2009 um 08:24 von it-freak

passive tap problem gelöst ;-))

Hallo,

nachdem ich meinen Fehler zwischenzeitlich gefunden habe, hier noch die Info für alle - evtl. verkürzt das ja die eine oder andere Fehlersuche ;-)...

Ich hatte zwei Messgeräte als Hosts eingesetzt.
Mit einem PC und Wireshark wollte ich den Traffic zw. Host A und B sniffen.

Problem war, die beiden Messgeräte handelten per Autonegotiation 1 Gbps/fdx aus.

Über zwei Drähte sind max. 100 Mbps möglich = der Link am PC kam nicht hoch.

Lösung: beide Messgeräte fest auf 100Mbps = TAP funktioniert.

Danke für die Antworten,
Gruß Meik
 

geschrieben am 17.02.2010 um 23:39 von gabe

auch mal ne Frage zum TAP

Hallo zusammen,

bin gerade auf der Suche nach einer TAP-Bauanleitung, weil der Link auf dieser Seite ( http://www.nwlab.net/art/taps/passiver-tap.html ) nicht mehr geht.

Jetzt habe ich mir das gerade angeschaut: http://www.sun.com/bigadmin/content/submitted/passive_ethernet_tap.jsp

Das ist ja im Prinzip einfach parallel geschaltet. Wie funktioniert das denn bei richtigen (teuren) Taps? Weiß da jemand noch einen besseren Bausatz/Anleitung/Tutorial?
Wie ist das hier mit Dämpfung etc.? Ich habe hier ja eigentlich noch einen Verbraucher, funktioniert das so ohne Probleme, also dass die Signale noch alle ankommen?

Und letzte Frage: Warum gehen "die Teile" nicht für Gigabit Ethernet?

So viele Fragen... wär cool wenn mir jemand ein paar Infos/Links etc. zukommen lassen könnte.

Gruß Gabe
 

geschrieben am 18.02.2010 um 08:30 von Otaku19

ein "teures" tap wäre ein Switch der einem die frames einfach 1:1 "kopiert". Dann sind auch Gigabit doer gar 10G Verbindungen kein Problem.
 

geschrieben am 18.02.2010 um 10:42 von gabe

Hallo Otaku19,
vielen Dank für die schnelle Antwort.

Ok, das "kopieren" macht dann der Controller im Switch, das lässt sich bestimmt jetzt nicht so einfach nachbauen.
Ich werde mal das andere zusammenbasteln und mal testen was da so geht... :-)
Über eine bessere/professionellere Anleitung würd ich mich aber freuen.

Gruß Gabe
 

geschrieben am 18.02.2010 um 11:33 von Otaku19

um so eien Switch kommt au fDauer so und so nicht rum :) so stört man mit dem Sniffer das elektrische Signal nicht wie es bei einem tap der Fall ist.

Solche Funktionen spielts halt nur bei höherwertigen managbaren Switchen.

Bei unseren Netzen werden auf allen Switchen extra Ports für evtl Sniffer freigehalten :)
 

geschrieben am 25.09.2013 um 15:46 von chrisliom

Innenleben eines RJ45 TAP

und warum 10/100 passive geht und 1 Gbit nicht

http://www.cubro.net/index.php/papers-docs/cat_view/6-whitepaper
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019