Datenpakete zur Analyse mitschneiden. Geht das?

Alex · 29. September 2016 um 12:16

Hallo,
ich habe ein Laptop und ein weiteres Netzwerk-Gerät an einem TP Link 841 per Ethernet angeschlossen. Wenn ich den Router spannungslos mache und Spannung wieder anschließe holt sich das Laptop nach einiger Zeit eine IP-Adresse, das andere Netzwerk-Gerät macht das allerdings nicht immer. Ich möchte nun die Datenpakete mitschneiden um zu sehen was passiert. Geht das irgendwie mit dem TP Link?

tobox · 29. September 2016 um 12:26

Wenn Du den gesamten Traffic mitschneiden willst, brauchst Du einen 100MBit Hub oder einen intelligenten Switch mit Mirror-Möglichkeit. Wenn Du nur Broadcasts sehen willst (reicht bei DHCP-Problemen meist aus), dann geht das auch mit normalen Switches.

Direkt auf dem 841er wird es schwierig, die Pakete mitzuschneiden, weil er sehr wenig RAM und Flash hat, um tcpdump zu installieren. Alternativ bieten Fritz!Boxen die Möglichkeit, alle Pakete auf allen Interfaces separat zu capturen.

Um was für ein Gerät handelt es sich denn?

chrisSL · 29. September 2016 um 12:44

Versuchs mal auf dem 841 mit:

batctl td client0

Vielleicht fällt Dir ja was auf. Evermutlich ist ein |egrep „x|y“ bzw. |egrep -v „x|y“ dahinter notwendig, um unnötiges rauszufiltern.

Also z. B. für alle IP und IPv6-Pakete:

batctl td client0|egrep -v „92cc.22|ICMP|ARP|BLA CLAIM|BLA UNCLAIM|unknown protocol“

Alex · 29. September 2016 um 13:10

Das Gerät ist ein Übertragungsgerät für Gebäudetechnik-Meldungen. Der Traffic ist daher sehr gering.

tobox · 29. September 2016 um 13:19

Wenn es nicht geheim ist, dann schreib doch einfach, wie das Ding genau heißt. Oft findet man dann mit google und den richtigen Suchworten schon die Antwort. (no dhcp after link down GERÄTENAME oder so ählich)

Alex · 29. September 2016 um 13:39

Das Gerät gibt es noch nicht auf dem Markt. Deshalb kann ich da nix genaueres zu schreiben. Mit einer Fritzbox habe ich das Problem noch nicht beobachtet, deshalb interessiert es mich was das Laptop anders macht als das Übertragungsgerät wenn es am Freifunk-Router hängt.

tobox · 29. September 2016 um 13:49

Also manche Geräte fahren beim Link-Down und Link-Up nicht das gesamte DHCP-Protokoll durch, sondern versuchen anhand mancher Heuristiken zu erkennen, ob sie noch im selben Netz sind. In dem Fall verwenden Sie die alte DHCP-Adresse einfach weiter (wenn sie die Adresse nicht explizit freigegeben haben). Vielleicht ist es dann ein Problem, dass der Knoten beim nächsten Reboot einen anderen Gateway auswählt und das Netz irgendwie nicht weiß, wie es die Pakete Routen soll.