LAN : comment connecter un sniffer

Bonjour, Je dois débugger un programme des angoisses qui communique via TCP/IP avec une machine, je voudrai connecter un PC avec wireshark sur le cable qui va du PC à la machine pour voir ce qui se passe. Quel hardware je dois utiliser pour être sur que le PC avec wireshark voie tous les paquets? Est ce qu’un simple adapteur passif doubleur de LAN fait le travail?

Exemple ici : [Lien cassé et supprimé]

Pour moi il y a même pas besoins d’hardware spécifique. Si tu installes wireshark sur la machine où tourne le programme tu peux voir tout les paquets qui partent de ta machine, en utilisant un filtre sur les ports tu peux voir tout ce qu’émet ton programme. Tu peux faire la même sur le client pour voir si tout arrive bien. Si non il y a des problèmes de réseau indépendant de ton programme.

Mais je ne connais pas assez en hardware pour pouvoir t’orienter si tu n’as pas accès au PC.

Tu peux en effet déjà voir tout le trafic avec Wireshark sur l’une des deux machines, surtout si tu debugues au niveau de TCP. Tu n’as donc pas besoin d’un équipement spécifique.

Toutefois, sache qu’il existe aussi des switchs qui permettent de répliquer sur l’un de leur port le trafic d’un autre. C’est spécialement conçu pour sous-traiter l’analyse de trafic a une machine tierce.

Le plus simple est d’installer Wireshark sur une des machines. Mais il est probable que ce n’est pas possible. Reagardes aussi si ||tcpdump ||est utilisable sur un des machines. Auquel cas tu pourras analyser le TCP capturé au moyen de Wirseshark.

Si tu utilises un "doubleur de LAN", la liaison va basculer en 10 Base T (ethernet 10Mb half duplex). Il faut que les machines acceptent ce mode.
Attention toutefois, certains "doubleurs" sont prévus pour séparer les data et le téléphonie : ça ne marchera pas. Du côté PC qui héberge Wireshark, ce n’est pas simple non plus, car les drivers réseau vont faire leur travail : établir une connexion, ce qui au mieux créer du trafic parasite. Il faut donc qu’ils restent silencieux.

Si tu utilise un switch, tu ne verra pas le TCP. Tu ne verras que les trames broadcast (ARP, DHCP request …)

Si tu as un switch administré sous la main (CISCO par exemple), il peut éventuellement recopier le trafic sur un port d’observation. Cela s’appelle SPAN ou encore Port Mirroring.
Voir ici : https://www.astarox.com/blog/configuration-port-mirroring-switch-cisco-capture-wireshark-b23.html

@d3m0t3p, sgble : votre solution est valide, mais hélas c’est une machine sans écrans sur laquelle je n’ai pas beaucoup de droits. Je suis pas sur de pouvoir y mettre un serveur X ni y installer des choses.

Pour les drivers je note. Je pensasis passer la carte en mode écoute seulement (ifconfig eth??? promisc) avant de connecter le PC qui écoute.

Pour le type d’ethernet je ne savais pas que ca pouvait changer les choses. Je n’ai pas de switch configurable sous la main, mais je note l’idée, si j’ai pas d’autre option, j’en chercherais un.

votre solution est valide, mais hélas c’est une machine sans écrans sur laquelle je n’ai pas beaucoup de droits. Je suis pas sur de pouvoir y mettre un serveur X ni y installer des choses.

Ah d’accord, j’avais cru comprendre qu’il y avait aussi un PC (avec un écran). S’il n’y pas les droits pour installer des choses, ça vaut peut-être le coup de vérifier que tcpdump (proposé à @etherpin plus haut) n’est pas déjà installé de base (c’est souvent le cas sur une machine Linux). C’est un poil plus dur à utiliser que WS, cependant.

Si l’on part sur la solution du switch équipé de port mirroring comme on en a parlé, c’est effectivement du niveau trame (Ethernet), ce que le switch sait gérer. Mais tu pourras quand même voir les segments TCP en remontant les couches (les segments TCP (niveau 4) sont dans les paquets IP (niveau 3) qui, enfin, eux sont encapsulés dans les trames Ethernet (niveau 2)). Je suis à peu près sûr que WireShark saura gérer tout ça pour extraire ce qui t’intéresse.

Est ce qu’un hub ethernet ne pourrait pas faire l’affaire ? Le traffic serait alors visible sur l’ensemble des ports du hub, et un PC connecté sur un port avec wireshark pourrait analyser tout ce qui passe. Encore faut il retrouver un hub ethernet, qui est une espèce en voie de disparition…

Bien vu, c’est vrai que les hub répliquaient bêtement les trames partout. Mais comme toi je ne suis pas sûr qu’il soit facile de mettre la main sur un hub en 2021… Peut-être qu’une petite recherche sur quelques sites de vente d’objets d’occasion donnera quelque chose, qui sait.

Avec un hub, les systèmes vont basculer en 10 Base T, half duplex. Il faut aussi veiller à rendre luette la machine qui fait tourner Wireshark.
Si il n’y a pas de hub dans le grenier, autant tenter le coup avec un duplicateur de port.

Je ne pense pas que les performances soient un problème, si je comprends bien, il s’agit ici juste de débugguer/inspecter le comportement d’un programme.

Mais si les performances sont requises, il faudra bien entendu investir dans un switch de gamme professionnelle capable de faire du port mirroring, c’est sûr.

Je pensais plutôt à un système qui ne ferait pas de négociation automatique.