Sniffer de par trenzado openwrt

Buen día a todos, mi pequeña historia comenzó cuando mi amigo y yo estábamos discutiendo sobre los estándares 10BASE-T y 100BASE-T sobre dúplex completo y semidúplex, y al final decidimos mostrarle lo que podía escuchar en parejas usando el ejemplo de un dispositivo listo para usar.



Después de leer el artículo, tomé mi antiguo TP-Link mr3240 v1.2 en el que había un firmware predeterminado. un poco de baile con pandereta y ahora tiene un sniffer completo con Openwrt a bordo, una batería de 8Ah, Wireguard y una memoria USB para almacenar basureros por si acaso.



No describiré la instalación de openwrt porque hay muchos manuales.



Comencemos instalando tcpdump y preparando el WRT en sí: inicie sesión en el enrutador a través de SSH, raíz predeterminada sin contraseña, luego:



opkg update && opkg install tcpdump


img




luego, algunas configuraciones en Switch openwrt van a 192.168.1.1



Network -> Switch







escucharemos el puerto wan y el puerto 4, mientras que aparecerá la interfaz eth0.3 vlan, si deja la configuración predeterminada, entonces en el puerto 4 solo escucharemos mensajes de transmisión porque el procesador no procesará todos los mensajes no dirigidos a él, en el caso del artículo que me inspiró, escuchamos solo un par, ya sea RX o TX, en mi caso, escuchamos tanto en eth1 como eth0.3



La esencia es conectar los pares Rx y Tx a los pares Rx cada interfaz:



img
imagen



Para hacer esto, armé el siguiente cable torpe:



Cable




Ahora, la pregunta de qué tan conveniente es escuchar simplemente ejecutar tcpdump y almacenar todo en el enrutador no es una opción de la palabra en absoluto, solo en casos raros, por supuesto, donde el volumen de tráfico no es grande.



Por lo tanto, se decidió utilizar una tubería a través de ssh plink para ventanas, se ajusta perfectamente y mira todo en wirehark.



Encontré un script simple en Internet, en el que debe especificar la interfaz, y así sucesivamente:



@REM ----------------------------------------------------
@REM remotecap.cmd
@REM   Example command for captruing eremote network packet
@REM  using wireshark and tcpdump.
@REM   First written by j2doll. September 10th 2016.
@REM   https://github.com/j2doll/wireshark-remote-command-win
@REM   http://j2doll.tistory.com
@REM ----------------------------------------------------
@REM install putty and wireshark on your windows pc.
@SET PLINK_PATH="C:\Program Files\PuTTY\plink.exe"
@SET WIRESHARK_PATH="C:\Program Files\Wireshark\Wireshark.exe"
@SET REMOTE_SERVER=192.168.1.1
@SET REMOTE_ACCOUNT=root
@SET REMOTE_PASSWORD=
@SET REMOTE_INTERFACE=eth0.3
@REM execute command
%PLINK_PATH% -batch -ssh -pw %REMOTE_PASSWORD% %REMOTE_ACCOUNT%@%REMOTE_SERVER% "tcpdump -s0 -U -w - -i %REMOTE_INTERFACE%" | %WIRESHARK_PATH% -i - -k


Por supuesto, sería posible terminar todo esto, hay un script de Python que combina dos tubos en uno y sería conveniente de ver, pero para mis propósitos no era necesario en absoluto.



A continuación, inserte el cable entre los dispositivos y los pares adicionales en wan y el puerto 4 del enrutador, ejecute dos versiones del script en una REMOTE_INTERFACE = eth0.3 en la segunda REMOTE_INTERFACE = eth1.



Un par de cables amarillos era para un rastreador en ellos, utilicé solo un par verde como se describió anteriormente, está trenzado en un par naranja, de color a color, rayado a rayado, el segundo cable también al par verde.



Usé una laptop y un map lite como víctimas, los cables azul y gris solo se sueldan para ellos, se sueldan directamente, es decir, cómo debe ser color a color.



Un poco de fotos
















Luego todo esto fue alimentado por la batería, agregó wwan retorcido el guardacables y se puede oler desde casa, claro, si hay dónde tirar wwan en el lugar donde escuchamos.



Eso es todo.



ZY si hace un puente entre las interfaces, puede escuchar ambas interfaces juntas, es decir, en el tiburón, verá tanto RX como TX a la vez))



All Articles