sniff ind og ud pakke fra pc i swiched netværk

Der er to måder at gøre dette på.

1. hvis din switch understøtter det der hedder mirror port, hvor alt trafik mappes til en port så kan du sniffe her fra. Det er nok det du mener at din switch ikke understøtter.

2. du skal bruge en lille hup med mindst 3 porte. Du sætter så dit net op således.

Internet -----router------hub-------switch
                            |_______sniffemaskine

På ovenstående måde vil du kunne sniffe alt ind og udgående trafik. jev vil anbefale at sniffe med programmet TCPDump. Jeg vil anbefale at du indledningsvis sniffer alt til en fil som du så efterfølgende kan sniffe ned i med filtre sat på. Denne efterfølgende behandling gør at du kan foretage becist fravalg i de efterfølgende snifninger på det du ikke vil have. Det er altid bedst bevist at fravælge ting i stedet for at opgive hvad der skal sniffes. Hvis du fravælger hvad der ikke skal sniffes fanger ud også de ting du ikke har tænkt på

OK så er der selvfølgelig også muligheden for at installere snifferen eller en keylogger direkte på maskinen, men den er vandskelig at skjule hvis brugerne har admin rettgiheder på maskinen

jeg har desværre ikke en lille hub, og helt rigtigt, så understøtter min switch ikke port mirror.

Med hensyn til det med at installere et stykke software på maskinen, så har brugerne admin rettigheder. Brugerne er dog ikke specielt tekniske, så et program der ikke vises i bunden, eller ved sinden af uret, vil de ikke opdage.

Har du et bud på et program der kan gøre dette?

Jeg kan også lige sige at der er en server på netværket. Jeg har så prøvet at sætte serveren som pc'ens default gateway, men det giver kun trafikken ud af netværket, da trafikken ind, kommer direkte fra switchen.

Hvordan startes dine brugere op? via profil eller logon script. Du skal jo have startet snifferen på en eller anden måde og heldst uden at brugeren opdager det.

Sidder de i et domæne, hvis du sniffer til en fil, skal den jo heldst placeres på et server drev og ikke på et lokalt drev således at brugeren dels ikke kan slette denne fil umiddelbart og dels ikke kan opdage at her ligger en fil der bare bliver større og større.

Du skal vide at løsningen meds nifning på de lokale maskiner langt fra er optimal, du vil skulle behandle en fil pr maskine (evt først samle dem til en fil) for at kunne få et samlet billed

Et bud på programmet vil stadig være TCPDump (WINDump til windows maskiner). Dette program startes via en kommadolinie, hvorfor det er relatvt let at skjule

brugeren logger bare på via en lokal profil. Det spørgsmålet er hvordan jeg får den startet uden brugeren opdagere det. kan det evt gøres i regedit under local user --> run, og så med parametret /background ?

Der sker ikke noget ved at filen ligger lokalt på maskinen

Da der kun er en maskine, er det ikke så stor et problem.

jeg har prøvet at hente WinDump. Kan det passe at det bare er et dos program?

jeg fandt mig en hub, og nu går det meget bedre ;-)

Tak for god sparing

Velbekommen. Du skal være opmærksom på at der findes en grafisk flade til windowm (faktisk fungere den som et samlet program, hvis du installere den tager den windump med) den hedder Ethereal. Du kan anvende etherel som behandler af de med windump sniffede filer, men du kan ikke skjule ethereal for brugeren, da den starter op grafisk