Pasif Ethernet tap’i yapmak
(blog.lvmbdv.dev)- Akıllı TV’nin boştayken ürettiği trafiği doğrudan görmek için 39 €’luk Throwing Star LAN Tap yerine RJ45 breakout kartları ve mini breadboard ile pasif bir Ethernet tap’i kopyalandı
- Bu tap, yönlendirici ile hedef cihaz arasına inline yerleştirilerek sinyali iki monitör portuna kopyalıyor; güç, yazılım veya ayar gerektirmeden çalışıyor
- J1-J2, 8 pinli düz bağlı bir patch kablo gibi bırakılırken J3 ve J4, iki yöndeki TX çiftlerini ayrı ayrı izleme ekipmanının RX çiftlerine göndererek trafik yönlerinin ayrı gözlemlenmesini sağlıyor
- Monitör portlarının kullanılmayan çiftlerine iki adet 220 pF kapasitör eklenerek Gigabit otomatik pazarlık engelleniyor ve bağlantı 100 Mbps’ye düşürülüp 100BASE-TX’in yalnızca iki çifti tap’leniyor
- Akıllı TV testinde 7,5 dakika boyunca 2.769 paket ve ortalama 14 kbps yakalandı; CRC hatası olmadan 100 Mbps bağlantı korunduğu için deney amaçlı pasif tap olarak yeterli çalıştı
Breadboard ile yapılmış pasif Ethernet tap’i
- Throwing Star LAN Tap’i görüp akıllı TV’nin ne kadar iletişim kurduğunu kontrol etmek istedim, ancak 39 € ödemek yerine mini breadboard kopyası yaptım
- Pasif Ethernet tap, hedef cihaz ile yönlendirici arasına konan basit bir inline cihazdır
- Sinyali iki ek monitör portuna kopyalar
- Trafiği fiziksel olarak yeniden enjekte edemez
- Güç, yazılım veya ayar gerektirmez
- Monitör portları yalnızca alım içindir; bu yüzden yanlışlıkla ağda DoS oluşturma olasılığı düşüktür
-
Kablolama ve 100 Mbps’ye zorlama
- Tap üzerinde 4 adet RJ45 jak bulunur
- J1 bilgisayara, J2 yönlendiriciye bağlanır
- J1 ve J2 pin pin düz bağlanır ve elektriksel olarak patch kablo gibi davranır
- J3, bilgisayardan yönlendiriciye giden trafiği izler
- J1’in TX çifti olan 1 ve 2 numaralı pinler, J3’ün RX çifti olan 3 ve 6 numaralı pinlere gönderilir
- J4 ters yöndeki trafiği üstlenir
- J2’nin TX çifti J4’ün RX çiftine gönderilir
- İzleme bilgisayarının gönderim yapamaması için J3 ve J4’ün 1 ve 2 numaralı pinleri boşta bırakılır
- İki adet 220 pF seramik kapasitör, monitör jaklarının kullanılmayan çiftlerini köprüler
- C1, J3 pin 4-5’e; C2, J4 pin 7-8’e bağlanır
- Bu kapasitörler mavi ve kahverengi çiftlerde Gigabit otomatik pazarlığı bozarak bağlantıyı 100 Mbps’ye düşürür
- 100 Mbps Ethernet, dört çiftin yalnızca ikisini kullanır; bu yapılandırma da tam olarak bu iki çifti tap’ler
- Gigabit olarak pazarlık yapılırsa veri dört çiftin tamamına yayılır ve bu tap ile gözlemlemek zorlaşır
Yapım ve yakalama sonuçları
- Orijinal Throwing Star LAN Tap özel PCB kullanır, ancak bu yapım 4 RJ45 breakout kartı, 2 kapasitör ve mini breadboard’dan oluşuyor
- Inline yol, breadboard’un bir tarafında J1-J2 arasını 8 kabloyla düz bağlar
- Monitör tap’i inline yoldan dallanır
- J3 için J1 pin 1 ve 2’den J3 pin 3 ve 6’ya jumper bağlanır
- J4 için J2 pin 3 ve 6’dan J4 pin 3 ve 6’ya bağlantı yapılır
- Kapasitörler, monitör jaklarının kullanılmayan çiftlerini doğrudan köprüler
- Breadboard’un parazit bileşenlerinin sinyali bozabileceğine dair endişe vardı
- 100BASE-TX 125 MHz’de çalışır
- Breadboard’da bitişik sıralar arasındaki parazitik kapasitans genellikle 2-5 pF’dir ve empedans da eşleşmez
- Inline kablolar kısa olduğu için sinyal sorunsuz korundu
- Üretim ağında breadboard kullanmak zor olsa da pasif tap deneyi için yeterince çalışır
- Tap, akıllı TV ile yönlendirici arasına yerleştirildi ve masaüstü bilgisayar monitör portuna bağlanarak yakalama yapıldı
- İlk 7,5 dakikada 2.769 paket ve ortalama 14 kbps gözlemlendi
- Boştaki akıllı TV çoğunlukla yalnızca kontrol trafiği ve cihaz keşif trafiği gönderiyor
- TV, 5 dakikadan kısa sürede
239.255.255.250adresine 877 kez SSDP NOTIFY paketi gönderdi - Aynı servisleri ve aynı bildirimleri hem IPv4 hem IPv6 üzerinde mDNS ile broadcast ediyor
- Başka bir subnet’teki akıllı cihaz
192.168.3.7, burst halinde 34 broadcast frame gönderdi - Yönlendirici
192.168.2.254, her şeye IGMP sorgularıyla yanıt verdi
- Toplam 2.769 frame içinde 0 CRC hatası vardı ve bağlantı ışığı 100 Mbps’de kararlı biçimde kaldı
- USB Ethernet adaptörü geldiğinde gerçek dizüstü bilgisayar trafiği de tap’lenebilecek
1 yorum
Lobste.rs yorumları
Yapılandırılabilir bir switch'iniz varsa, bu tür bir kullanım için port mirroring destekleme ihtimali epey yüksek.
Kendiniz yapmak istemiyorsanız daha kolay yol bu.
En azından tüketici sınıfı managed switch görmüş değilim.
Böyle bir projenin asıl noktası yakalama gibi göründüğü için, packet capture kısmına daha fazla vurgu yapılsaydı iyi olurdu.
Benim akıllı TV'm de bekleme modunda mDNS ve SSDP dışında istemediğim bir sürü trafik üretiyor.
Henüz dizüstü için kullanacağım bir USB Ethernet adaptörüm olmadığı için, bunu masaüstü ile TV arasına koyup kullanmak oldukça zahmetliydi.
Adaptör gelince muhtemelen bu konuya odaklanan daha ilginç bir yazı yazacağım.
Daha ucuz ve daha kaba bir yöntem olarak, punch-down tipi keystone jack iki adetle aynı işi yapabilirsiniz.
https://janitha.com/articles/passive-splice-network-tap/
Ağ teknolojilerini öğrenirken, her Ethernet portunun gönderim tarafını diğer tüm portların alım tarafına broadcast edecek şekilde yapılandırılmış Ethernet hub'ları olduğunu öğrendiğimi hatırlıyorum.
Bu da bunun biraz ortasında sayılmaz mı diye düşünüyorum.
Tabii böyle ilkel bir hub'ı gerçek hayatta hiç görmedim. Belki de çok gencimdir…
Doğal olarak çakışmalara açık oldukları için pek güvenilir değiller.
Hiç satın almadım ama içini bu videoda görmüştüm: https://youtu.be/QgrVVyIzecM?t=266
Bu da kendimi yaşlı hissettiriyor ;-)
Ondan sonra çakışma riski çok büyük bir sorun hâline gelmiş olmalı diye düşünüyorum.