Switch und Wireshark

AL_Bundy_64efd3 · 12. November 2019 um 16:06

Hallo Allerseits,

kann ich ohne Probleme einen Netzwerkverkehr zwischen zwei PC mit einem dritten mitschneiden, wenn ich diese über einen Switch verbinde?

!!!Nein, ich will nicht schnüffeln, sondern nur was wissen!!!

Soweit ich das verstehe kann ich obiges problemlos mit einem HUB machen. Ich dachte aber, dass ein Switch (im Allgemeinen) eine „Punkt-zu-Punkt“-Verbindung zwischen zwei PCs herstellt (oder relevanten Geräten) und ich diesen Verkehr eben nicht auf allen Buchsen sehen kann (außer vielleicht Broadcasts). Bei einem HP-Switch den ich mal hatte konnte man z. B. das Mirroring einer Buchse auf eine andere aktivieren, um den Verkehr dann dort mitschneiden zu können.

Und ja, ich habe gegoogelt und mehr oder weniger was gefunden. Aber so ganz eben doch nicht. Ein Kollege von mir sagte, er hätte an einem Moxa-Industrieswitch ganz einfach sein Notebook gehängt und konnte dann den Verkehr zwischen einem Server und einer Waage mitschneiden. Was komplett meinem Wissen entgegenspricht.

Danke im Voraus.

MfG

AL

herrmann_59614f · 12. November 2019 um 16:06

kann ich ohne Probleme einen Netzwerkverkehr zwischen zwei PC
mit einem dritten mitschneiden, wenn ich diese über einen
Switch verbinde?

Das kommt darauf an, ob der Switch das erlaubt. Bei managebaren Switches kannst i. d. R. einen Monitoring-Port sowie die zu überwachenden Ports einrichten.

HTH

AL_Bundy_64efd3 · 12. November 2019 um 16:07

Hallo Herrmann,

danke für die Info. Das mit dem Monitoring-Port kenne ich. Habe ich ja auch geschrieben. Das verstehe ich als Zusatzfeature wenn ich bessere Switche habe. Meine Frage bezog sich mehr auf die grundlegende Funktion/Spezifikation eines Switches gegenüber einem Hub.

Soll heißen: besagt die Spezifikation für einen Switch, dass der Verkehr nicht überall mitgelesen werden kann? Wie gesagt, bis jetzt habe ich noch nichts gefunden, wo das grundlegend beschrieben ist.

Das es viele moderne Erweiterungen gibt (evtl. auch herstellerspezifische) denke ich mir.

Ich hatte bei meinem Kollegen halt argumentiert, dass diese „Punkt-zuPunkt“-Verbindung eine Hauptfunktion eines Switches sei - erst einmal unabhängig von allen möglichen weiteren Möglichkeiten.

Das kommt darauf an, ob der Switch das erlaubt. Bei
managebaren Switches kannst i. d. R. einen Monitoring-Port
sowie die zu überwachenden Ports einrichten.

MfG

AL

herrmann_59614f · 12. November 2019 um 16:07

Soll heißen: besagt die Spezifikation für einen Switch, dass
der Verkehr nicht überall mitgelesen werden kann?

Nein, auch wenn’s praktisch keinen Unterschied macht. Das ist lediglich eine Folge aus der Spezifikation die besagt, dass - sobald eine Zieladresse bekannt ist - Frames nur an den Ports geleitet werden, der mit dieser Zieladresse in der Address-table gelistet ist.

Deine Folgerung ist jedoch richtig.

Gruß

AL_Bundy_64efd3 · 12. November 2019 um 16:12

Hello Herrmann, hallo Alle,

ich bin’s nochmal…

lediglich eine Folge aus der Spezifikation die besagt, dass -
sobald eine Zieladresse bekannt ist - Frames nur an den Ports
geleitet werden, der mit dieser Zieladresse in der
Address-table gelistet ist.

OK, dann habe ich nicht ganz falsch gelegen. Nach erneuter Diskussion kam dann aber die Frage auf, wie er den Verkehr zwischen PC und Waage sniffen konnte, indem er einfach sein Notebook am Switch angeschlossen hatte. Lt. oben stellen die beiden Geräte eine Verbindung her und dann wird noch über die beiden entsprechenden Buchsen/Ports kommuniziert.

Zusatzfrage:
falls ich einen Ping auf angeschossene Geräte schicke (sagen wir den PC und die Waage), wird dann mein Notebook in die Tabelle eingetragen und ich kann so mitsniffen? Wie gesagt, dass es je nach Switch erweiterte Lösungen gibt denke ich mir. Mich interessiert aber in erster Linie das Grundsätzliche.

Evtl. hat ja auch jemand ein paar Links die die Grundlagen erklären. Meine Funde sind bis dato leider nicht so sehr der Bringer.

Wie immer danke im Voraus.

MfG

AL

herrmann_59614f · 12. November 2019 um 16:15

kam dann aber die Frage auf, wie er den Verkehr
zwischen PC und Waage sniffen konnte,

Die Frage kann nur er selbst beantworten - indem er seinen Versuchsaufbau kritisch checkt, und schaut, was er da falsch gemacht hat. Vielleicht hat er dem Hersteller zu stark vertraut und einen Hub für einen angeblichen Switch genommen, vielleicht hat er der Waage eine Broadcast-Adresse verpasst…

falls ich einen Ping auf angeschossene Geräte schicke (sagen
wir den PC und die Waage), wird dann mein Notebook in die
Tabelle eingetragen und ich kann so mitsniffen?

Das wird ausschließlich in die Tabelle desjenigen Ports eingetragen, an dem dein Notebook hängt. Nicht der Absender ist entscheidend - sonst würde jede Broadcast-Nachricht das gesamte Konzept des Switchs ad absurdum führen - sondern nur der Empfänger. Und der hängt nun mal immer an genau einem Port. Fremden zielgerichteten Verkehr kannst du mit dem Notebook nur dann mitschneiden, wenn die beteiligten Geräte am oder hinter dem gleichen Port hängen oder wenn die beteiligten Ports promiscuous geschaltet sind.

Du kannst zwar im Extremfall komplette Teilnetze mitsniffen, indem nur zwei Ports promisk geschaltet sind, aber nur dann, wenn die Switches kaskadiert sind und du dich in den Ursprungsknoten der Kaskade einhängen kannst. Sowas könnte es auch bei deinem Kollegen gewesen sein…

Gruß

AL_Bundy_64efd3 · 12. November 2019 um 16:16

Hallo Herrmann,

und nochmal vielen Dank für die Info.

MfG

AL