¿Sondando / monitoreando el tráfico de Ethernet? [cerrado]

Ciertamente, puede rastrear paquetes directamente desde cualquier Ethernet que use medios de cable coaxial (por ejemplo, 10base2).

Sin embargo, cualquier Ethernet que use un par trenzado sin blindaje (UTP, por ejemplo, 10baseT, 100baseT, etc.) es estrictamente punto a punto. Fíjicamente, tocar el cable interrumpiría la señal.

Para monitorear el tráfico, necesita usar un conmutador con un puerto de monitor, como el que tiene, o un "hub verdadero", uno que realmente haga eco de todos los paquetes recibidos en cualquier otro puerto (estos son raros hoy en día).

Como Dave Tweed menciona, esto no es trivial. Hoy en día, la mayoría de las redes domésticas utilizan un conmutador y, sin algunos trucos adicionales, no puede interceptar el tráfico de la red si no puede configurar uno de los puertos para este propósito.

Dos cosas que puedes hacer: - ejecute tcpdump en su RPI para detener el tráfico, esta es una herramienta estándar en muchas distribuciones de Linux; - Google para 'ARP cache flooding', también hay herramientas para eso. Estas herramientas inundan el conmutador con tantas direcciones de host (no existentes) (MAC) que el conmutador no puede realizar un seguimiento de ellas y se ve forzado en el modo de transmisión.

Tenga en cuenta que la inundación de caché ARP en un entorno corporativo es una razón perfecta para que lo despidan, pero no hay problema en que la caché ARP inunde su propio interruptor. El rendimiento puede disminuir, sin embargo, depende del hardware.