Faire d'un PC Linux multi-NIC un espion transparent type machine-in-the-middle

[GBo]

Voilà ce que j'aimerais faire pour enregistrer et voir ce qui se passe sur le lien Ethernet (avec wireshark ou autre) par exemple entre mon PC principal et mon routeur passerelle vers internet:

https://wiki.wireshark.org/CaptureSe...tm-2NIC-ws.png
Source: https://wiki.wireshark.org/CaptureSetup/Ethernet

J'ai déjà un petit PC fanless à plusieurs NIC sur lequel je viens d'installer Linux CentOS 7.
Comme feriez-vous ? est-ce que des solutions toutes prêtes existent ?

NB : je sais que l'on peut faire ça avec un switch managé dont on configure un port en miroir, mais ça prend deux équipements au lieu d'un (un switch et un PC), donc vu que j'ai un PC avec plusieurs ports - et pas de switch managé - , je me disais que je pourrais le dédier à cette tâche. En outre je voudrais voir les tags VLAN si il y a. Ensuite ça va se compliquer puisque je voudrais espionner deux liens Ethernet en parallèle en respectant les séquencements des trames qui y circulent sur une même base de temps (celle du PC espion donc), et sans perdre de trame.

merci pour vos idées.

cdlt,
GBo
-----

[LongaRipa]

Bonjour

Sans utiliser un port miroir, ca me parait impossible.

Par contre, vous pouvez intercaler le PC espion entre le PC principal et la box.
Tout transiterait par lui, il pourrait donc tout enregistrer.
Il faudrait le configurer en bridge, par contre je ne sais pas comment le faire.
Ou en routeur, mais ca risque de compliquer la config.

Ce n'est qu'une idée ....

[GBo]

Oui merci, je suis en train de regarder les "bridges" de linux car ça a l'air d'être la solution en effet, il faut juste que je trouve la nouvelle façon de faire dans les manuels récents car ce qu'on trouve le plus souvent sur la toile est issu du paquet bridge-utils qui n'existe plus depuis RHEL 7.7 (je suis en 7.9).

[GBo]

Ca y est ça marche, pour écouter un seul lien Ethernet bidirectionnel c'est super simple en fait, il suffit d'intercaler le PC espion dans le lien comme dans l'image ci-dessus, après avoir lancé un bash script qui contient:

Code:

ip link add name br0 type bridge
ip link set br0 up
ip link set enp2s0 master br0
ip link set enp3s0 master br0

Noter que enp2s0 et enp3s0 sont les noms des NIC 2 et 3 de mon PC comme indiqué par un ip a (j'ai gardé le NIC 1 pour l'admin, SSH etc...), les noms peuvent être différents suivant les PC. br0 est le nom que j'ai donné au 'bridge' linux, mais on le nomme comme on veut.

Un ip link list permet de vérifier que ça se passe bien (i.e. que les deux interfaces physiques ont bien le bridge br0 comme maître

Code:

# ip link list
...
3: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master br0 state UP mode DEFAULT group default qlen 1000
    link/ether 00:e0:4c:68:3c:c4 brd ff:ff:ff:ff:ff:ff
4: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master br0 state UP mode DEFAULT group default qlen 1000
    link/ether 00:e0:4c:68:3c:c5 brd ff:ff:ff:ff:ff:ff
...

Ensuite on peut sniffer ce que se passe sur le lien bidir dans lequel on a inséré ce PC, avec l'outil tcpdump sur le NIC 2 (on aurait la même chose sur le NIC 3 puisque tout ce qui rentre par une oreille sort par l'autre, grâce au bridge):

Code:

# tcpdump -i enp2s0

Reste à creuser le step 2 de ma manip, cat j'ai deux liens bidir indépendant à superviser, et je voudrais une trace unique bien séquencée.

cdlt,
GBo

[A voir en vidéo sur Futura]

[GBo]

A priori pour mon step 2, je pense qu'il suffira de créer un deuxième bridge comme maître de enp4s0 et enp5s0 (interfaces physiques en insertion sur le 2ème lien à sniffer), puis "tcpdumper" enp4s0 en parallèle de enp2s0 (les deux tcpdump lancés en tâche de fond) puis merger les .pcap ensuite.
Plus de détails sur le merge et autres méthodes là:
https://stackoverflow.com/questions/...-the-same-time

cdlt,
GBo