was meinst du mit "ferne netzwerkkarte überwachen"? ich glaube dir ist nicht ganz klar, was ein sniffer macht und wie die grundlagen von netzwerkprotokollen und netzwerken aussehen.
ein sniffer kann nur pakete protokollieren, die bei ihm ankommen, in der regel sind das pakete von rechnern, die im selben subnet sind und über ein hub angebunden sind. im normalfall erhält ein rechner in einer umgebung, die über hubs verbunden ist alle pakete, die an das hub gesendet werden, unabhängig von der zieladresse, da ein hub nur verteiler ist. im normalen modus verwirft die karte dann aber diejenigen pakete, welche nicht für ihn bestimmt sind.
sniffer setzen die karte nun allerdings in den promic mode, d.h. es werden alle ankommenden pakete aufgenommen und im stack weitergereicht, egal ob sie für den entsprechenden host sind oder nicht.
anders sieht der fall aus, wenn es sich um eine geswitchte umgebung handelt, da ein switch die pakete intelligent an den anschlüssen verteilt und nur über den anschluß weiterleitet, an dem der entsprechende host angeschlossen ist. der switch erfährt das über ARP. er hält einen ARP cache bereit, in dem steht, welche MAC an welchem anschluß zu finden ist. bei unmanaged switches und switches mit dynamischen ARP-tabellen kann man noch mittels ARP-spoofing den switch dazu veranlassen zu denken, daß die entsprechenden rechner auch über einen anderen anschluß zu erreichen sind (das prinzip einer bridge oder eines transparenten proxys), bei managed switches mit statischen ARP-tabellen funktioniert dies dann aber nicht mehr, und jeder admin in einer sensiblen umgebung wird die switches derart konfigurieren um sniffing und man-in-the-middle zu unterbinden.
bei gerouteten umgebungen, also über verschiedene netzwerke hinweg sieht es ähnlich aus, der router routet nur in die entsprechenden segmente und an die entsprechenden anschlüsse, die pakete kommen also auch gar nicht erst bei dir an. auch dafür gibt es wieder techniken und lücken, um dies zu umgehen, die aber je nach sicherheit der konfig mehr oder weniger funktionieren. da wären zu beispiel SNMP und ICMP zu nennen (stichwort redircts und sourceroutes).
ich vermute also, du hast ein falsches bild von sniffern und willst etwas machen, daß in der form gar nicht geht, oder nur mit fortgeschrittenen kenntnissen.
Anonym
xafford
