Kategorie Netzwerktechnik - Forum Tools
Passiv TAP Problem
geschrieben am 23.06.2009 um 15:18 von it-freak
Hallo,
nachdem ich nun mehrere Stunden mit Recherche und Tests verbracht habe versuche ich mal hier Hilfe zu finden.
Ich habe einen passiven TAP gebaut, habe aber das Problem, dass das Interface am Laptop auf dem Wireshark läuft nicht hochkommt...
Damit erkennt Wireshark keine Packets = kein Sniff :-(
Kann das Tool evtl. nur mit Linux eingesetzt werden?
Brauche ich spezielle HW um das IF zu aktivieren?
Bin ich einfach zu doof???
Danke für Eure Tipps
geschrieben am 23.06.2009 um 16:00 von Otaku19
natürlich läuft wireshark auch auf Windows, wenn das Interface nicht "up" kommt kann allerdings Wireshark nix dafür, da hast noch irgendwo nen Hund drin, am ehesten beim Tap oder evtl. ne defekte NIC.
geschrieben am 23.06.2009 um 21:07 von Mirko
Nach welcher Anleitung hast Du den Tap verdrahtet? Die Teile gehen in der Regel nicht für Gigabit Ethernet.
Mirko
geschrieben am 24.06.2009 um 08:30 von it-freak
Hallo,
Danke erst mal für die Antworten.
@ Otaku19: NIC funktioniert definitiv, Wireshark sniffen funktioniert auch an einem HUB oder einfach so am gleichen IF
@Mirko
Verdrahtung enstpricht der Anleitung auf:
http://www.sun.com/bigadmin/content/submitted/passive_ethernet_tap.html
was der ursprünglich mal bei Snort eingestellten Anleitung entspricht
Für mein Verständnis sind laut der Skizze
1. Host A und Host B mit einem geraden Patch-Kabel verbunden.
2. TAP A ist parallel mit "RX+" auf "TX+" v. Host A
und "RX-" auf "TX-" v. Host A aufgeschaltet.
3. TAP B ist parallel mit "RX+" auf "TX+" v. Host B
und "RX-" auf "TX-" v. Host B aufgeschaltet.
Meine erste Vermutung war, dass Autoneg. nicht funktionieren kann wenn am IF nur RX- ankommt.
Wenn ich das IF fest auf 10 oder 100 Mbps full oder halfduplex einstelle,
blinkt das IF zwar, aber Wireshark "sieht" trotzdem keien Pakete
Vielleicht sollte ich noch erwähnen dass ich vo Host A nach Host B einen Dauerping sende.
Für mein Verständnis sollte ich dann an TAP A ICMP-Requests und an TAP B ICMP-Replies sehen...
Any Ideas???
Meik
geschrieben am 01.07.2009 um 08:24 von it-freak
passive tap problem gelöst ;-))
Hallo,
nachdem ich meinen Fehler zwischenzeitlich gefunden habe, hier noch die Info für alle - evtl. verkürzt das ja die eine oder andere Fehlersuche ;-)...
Ich hatte zwei Messgeräte als Hosts eingesetzt.
Mit einem PC und Wireshark wollte ich den Traffic zw. Host A und B sniffen.
Problem war, die beiden Messgeräte handelten per Autonegotiation 1 Gbps/fdx aus.
Über zwei Drähte sind max. 100 Mbps möglich = der Link am PC kam nicht hoch.
Lösung: beide Messgeräte fest auf 100Mbps = TAP funktioniert.
Danke für die Antworten,
Gruß Meik
geschrieben am 17.02.2010 um 23:39 von gabe
auch mal ne Frage zum TAP
Hallo zusammen,
bin gerade auf der Suche nach einer TAP-Bauanleitung, weil der Link auf dieser Seite ( http://www.nwlab.net/art/taps/passiver-tap.html ) nicht mehr geht.
Jetzt habe ich mir das gerade angeschaut: http://www.sun.com/bigadmin/content/submitted/passive_ethernet_tap.jsp
Das ist ja im Prinzip einfach parallel geschaltet. Wie funktioniert das denn bei richtigen (teuren) Taps? Weiß da jemand noch einen besseren Bausatz/Anleitung/Tutorial?
Wie ist das hier mit Dämpfung etc.? Ich habe hier ja eigentlich noch einen Verbraucher, funktioniert das so ohne Probleme, also dass die Signale noch alle ankommen?
Und letzte Frage: Warum gehen "die Teile" nicht für Gigabit Ethernet?
So viele Fragen... wär cool wenn mir jemand ein paar Infos/Links etc. zukommen lassen könnte.
Gruß Gabe
geschrieben am 18.02.2010 um 08:30 von Otaku19
ein "teures" tap wäre ein Switch der einem die frames einfach 1:1 "kopiert". Dann sind auch Gigabit doer gar 10G Verbindungen kein Problem.
geschrieben am 18.02.2010 um 10:42 von gabe
Hallo Otaku19,
vielen Dank für die schnelle Antwort.
Ok, das "kopieren" macht dann der Controller im Switch, das lässt sich bestimmt jetzt nicht so einfach nachbauen.
Ich werde mal das andere zusammenbasteln und mal testen was da so geht... :-)
Über eine bessere/professionellere Anleitung würd ich mich aber freuen.
Gruß Gabe
geschrieben am 18.02.2010 um 11:33 von Otaku19
um so eien Switch kommt au fDauer so und so nicht rum :) so stört man mit dem Sniffer das elektrische Signal nicht wie es bei einem tap der Fall ist.
Solche Funktionen spielts halt nur bei höherwertigen managbaren Switchen.
Bei unseren Netzen werden auf allen Switchen extra Ports für evtl Sniffer freigehalten :)
geschrieben am 25.09.2013 um 15:46 von chrisliom
Innenleben eines RJ45 TAP
und warum 10/100 passive geht und 1 Gbit nicht
http://www.cubro.net/index.php/papers-docs/cat_view/6-whitepaper
[ Dieses Thema im Live-Forum aufrufen ]
|