ubuntuusers.de

Hallo zusammen,

aktuell teste ich einige Dinge mit dem Banana Pi R2 aus.

Primär geht es es hierbei um das sniffen von Netzwerktraffic.

Folgendes vorhaben: Ein Kunde hat ein LAN, im welchen sich 10 Rechner befinden. Von da aus geht es zur Firewall und von da aus ab ins WAN. Standard und nichts aufregendes.

Nun möchte ich gerne den Traffic (in beide Richtungen) mitlesen. Sprich, ich möchte wissen, welcher Traffic von der Firewall ins Netz geht und welcher aus dem Netz raus in die weite große Welt geht. Die genannte Hardware hat mehrere Schnittstellen, über welche ich eine Brücke gelegt habe. Verbindung klappt, die Clients erhalten über DHCP der Firewall eine Netzwerkkonfiguration der Firewall und können ins Netz (Testumgebung).

Nun lasse ich auf einem Laptop im LAN einen Ping auf einen Server im WAN laufen (Regeln sind offen, ICMP kann durch). Allerdings sehe ich beim tcpdump keine entsprechenden Einträge. Egal, auf welches Interface ich den dump laufen lassen.

Bei den beiden Brückenenden (Sprich die Ports, welche gebrückt werden), kommen keinerlei Infos beim dump. Wenn ich die Brücke selber als Ziel des dumps wähle, erhalte ich Informationen des Banana Pi's selber. Jedoch nur die ARP Auflösungen, welche mich nicht interessieren.

Hat jemand eine Idee, wie ich den gesamten Traffic erwische? Habe bereits den -p Parameter bei tcpdump genommen, ohne Erfolg. Fest steht, dass der Traffic definitiv über die Bridge geht, da die Clients im Netz über die Bridge und somit über den Banana Pi, zur Firewall und dann ins WAN gelangen.

Ich möchte natürlich meine künstlerischen Fähigkeiten nicht für mich behalten, siehe Anhang. Wer mir hier zur Lösung verhilft, bekommt von mir einen Kaffee spendiert ☺

Beste Grüße und vielen Dank ☺

Sessa135 schrieb:

Fest steht, dass der Traffic definitiv über die Bridge geht, da die Clients im Netz über die Bridge und somit über den Banana Pi, zur Firewall und dann ins WAN gelangen.

Wie hast Du mit dem tcpdump gesnifft bzw. mit welchem Filter?

Ohne einen Filter.

Sessa135 schrieb:

Ohne einen Filter.

Ok, dann poste mal, was Du genau gemacht hast.

Was genau meinst du? Topologie habe ich aufgezeichnet, Siehe Anhang erster Beitrag.

Netzwerkkonfiguration sieht wie folgt aus:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

auto lan1 
iface lan1  inet manual
auto lan2 
iface lan2 inet manual

auto br0
iface br0 inet static
    address 10.0.1.10
    gateway 10.0.1.1
    netmask 255.255.255.0
    bridge_ports lan1 lan2
    bridge_fd 5
    bridge_stp no

Wobei ich die Interface aktuell noch schnell manuell hochfahre nach dem Neustart. Geht mir gerade erst mal drum, den dump zu schaffen ^^

Sessa135 schrieb:

Was genau meinst du?

Wo bzw. wie Du tcpdump benutzt hast.

EDIT:

BTW: Die Bridge ist ein Interface der OSI-Schicht-2 (Data link) und deshalb wirst Du mit tcpdump auf diesem Interface auch nur arp-Datenpakete sehen können.

Siehe z. B.: https://de.wikipedia.org/wiki/OSI-Modell#Die_sieben_Schichten

Sessa135 schrieb:

Bei den beiden Brückenenden (Sprich die Ports, welche gebrückt werden), kommen keinerlei Infos beim dump. Wenn ich die Brücke selber als Ziel des dumps wähle, erhalte ich Informationen des Banana Pi's selber. Jedoch nur die ARP Auflösungen, welche mich nicht interessieren.

tcpdump läuft natürlich auf dem Sniffer, sprich auf dem Banana Pi.

Sessa135 schrieb:

tcpdump läuft natürlich auf dem Sniffer, ...

Auf dem Bridge-Interface ..., dann siehe EDIT oben.

Ich verstehe! Wie komme ich denn zu Schicht3? Bzw. wie greife ich die Pakete auf Schicht3 ab?

ICMP ist kein TCP Protokoll. Also ist das eine Lösung, um ICMP zu sniffen?

Tcpdump filter only icmp traffic

tcpdump -nni eth0 icmp

(Quelle: https://forum.ivorde.com/tcpdump-how-to-to-capture-only-icmp-ping-echo-requests-t15191.html)

Die ganze Load bekommst Du m.E. schon mit tcpdump, nur ICMP ist nicht zur Datenübertragung gedacht.

dirkolus schrieb:

ICMP ist kein TCP Protokoll. Also ist das eine Lösung, um ICMP zu sniffen?

Ich denke nicht, denn ICMP ist OSI-Schicht-3 und wird auch hier von der Bridge nicht erfasst werden. Aber der TE kann ja mal testen.

Das mit dem ICMP war nur ein Test damit ich überhaupt Traffic erzeuge. Im Endeffekt will ich den gesamten Traffic, ob TCP oder UDP, mit sniffen.

EDIT Nein, funktioniert leider auch nicht.

Sessa135 schrieb:

[…] Hat jemand eine Idee, wie ich den gesamten Traffic erwische?

Schalte mindestens eine Schnittstelle in den „promiskuitiven Modus“:

sudo ip link set IFNAME promisc on 
sudo tcpdump -nevi IFNAME

Für IFNAME musst Du natürlich einen bei Dir zutreffenden Namen einer Schnittstelle einsetzen.

Habe bereits den -p Parameter bei tcpdump genommen, ohne Erfolg.

Dieser Parameter schaltet den „promiskuitiven Modus“ aus, jedoch nicht ein.

1
2

ip link set br0 promisc on
device br0 entered promiscuous mode

Leider ohne Erfolg.

Sessa135 schrieb:

Leider ohne Erfolg.

Poste mal von deinem BananaPI die Ausgaben von:

ip a
ifconfig
route -n
sudo iptables -nvx -L