Sniffing di networking e hub

Ciò probabilmente sembrerà ingenuo agli esperti … ma è stato in mente ultimamente.

Da anni sto utilizzando ntop e un hub a 4 porte a basso costo per annusare le reti dei clienti per determinare chi sta facendo ciò – e quanto. Ottimo modo per vedere cosa succede quando chiamano e dicono "Geeze, la networking sembra davvero lento oggi". Non è necessario importre un interruttore gestito (o accedere a quello esistente) e non è necessario configurare l'intervallo o il mirroring. Basta scendere nel mozzo in linea where voglio misurare.

Ultimamente ho notato che è quasi imansible acquistare un vero e proprio hub onesto-bontà. Mentre stavo cercando una nuova, ho avuto qualcuno che mi dica che dovrei essere sicuro di avere un hub full duplex o vedevo solo metà del traffico quando osservo.

Veramente?

Ho usato un vecchio Netgear DS104 tutto questo tempo. Nessun indizio se è metà o FD. Sono stato effettivamente sottovalutando le mie misure? Non sono abbastanza luminoso per il livello fisico per conoscere veramente …

Nota laterale: ha appena ordinato un interruttore Ethernet Dualcomm TAP come sostituzione di hub. Sembra un gadget meraviglioso. Tutte le note o suggerimenti su di esso sarebbero benvenuti nei commenti 🙂

3 Solutions collect form web for “Sniffing di networking e hub”

La cosa è che, mentre un hub normalmente consente solo comunicazioni half-duplex (ho sentito parlare di hub full duplex, ma non l'ho mai visto uno), ciò non significa che tu vedrai solo metà il traffico, ciò significa che i dispositivi che comunicano tra loro tramite il mozzo comunicheranno a half duplex. Vedrai ancora tutto il traffico che passa attraverso il mozzo. Quando il clientA comunica al clientB vedrai che e quando il clientB risponde al clientA vedrai anche quello. Un hub inoltra il traffico a tutte le porte, in modo da visualizzare tutto il traffico indipendentemente dal duplex.

Nel process di monitoraggio stai probabilmente introducendo un problema temporaneo delle performance a causa del fatto che tutti i dispositivi collegati al hub probabilmente tentano di comunicare a full-duplex (in particolare se sono rigidi codificati a duplex full-duplex) e quindi si verificheranno collisioni, che richiedono la trasmissione di un bel po 'di traffico oltre al "rallentamento" a causa della natura half-duplex del mozzo.

La cosa che è buona per utilizzare un hub è che funziona come un rubinetto passivo passivo. È ansible inserirlo in linea tra l'interruttore cliente e il firewall / router e monitorare l'utilizzo di Internet, vedere chi sta andando where, vedere quale tipo di utilizzo si sta verificando (HTTP, FTP, ecc.), Vedere quanta parte della loro connessione internet è in uso , e vedere quanto traffico di trasmissione esiste nella networking.

Quello che probabilmente non si vede sono problemi che esulano con host specifici nella networking in quanto non è ansible inserire il hub tra tutti gli host della networking (è ansible colbind solo il hub a una port switch, non tutti). Per questo è necessario un interruttore con capacità di mirroring delle porte in modo da poter monitorare il traffico da porte o gruppi di porte specifici alla port monitor.

Utilizzo sia un hub che una port che rispecchia l'interruttore capace, a seconda del problema che sto risolvendo. Di solito inizio con un hub collegato tra l'interruttore cliente e il firewall / router. Ciò mi dà una maniglia su quanto traffico internet ci sia, quale tipo di traffico è e mi dà una sensazione per quanto la trasmissione si sta verificando sulla networking. Direi che nella maggior parte dei casi il problema si rivela essere insufficiente della width di banda di Internet o di un grosso volume di trasmissioni che causano congestione, riavvii, ACK lento, ACK duplicati ecc.

A seconda di ciò che ti piace, una soluzione porttile è quella di build il proprio ponte di networking. Può essere fatto qualsiasi porttile con due interfacce. Inserire il filo dalla panetworking in un'unica interface e un secondo filo nel dispositivo che segnalerà il problema e eseguire i sniff sul ponte.

Doppie porte possono essere trovate in molti modi. USB NIC o utilizzare uno slot ExpressCard mai usato su alcuni porttili per aggiungere una seconda GigE NIC ( esempio di dispositivo a NewEgg).

Su Linux è un paio di comandi in modalità radice per configurarlo.

brctl addbr snifbr brctl addif snifbr eth0 eth1 

Lo stesso può essere fatto su Windows attraverso la condivisione di connessione a Internet e altri mezzi, ma non so cosa sono fuori dalla testa.

E ora, una nota laterale:


La facilità di farlo è una delle ragioni per cui alcune reti implementano la sicurezza a livello di port. Registrare un indirizzo MAC specifico per una specifica presa Ethernet e è molto più difficile fare questo tipo di cattura di pacchetti in linea. Non è imansible, solo più difficile.


Il vantaggio di utilizzare questo metodo è che non richiede un ulteriore potere-mattone per l'interruttore / hub, è tutto autonomo nel porttile. Puoi anche aggiungere un indirizzo al ponte se vuoi.

 ifconfig snifbr 10.31.25.101 netmask 255.255.255.0 

E SSH in esso per le catture a distanza.

Se è un hub deve essere half duplex. È difficile trovare un mozzo e praticamente imansible trovare un "hub" 100mb.

In questi giorni 10mb non li taglia in modo che i hubs non sono veramente una grande soluzione.

Gli interruttori gestiti in grado di eseguire mirroring delle porte non sono tutti molto costosi in questi giorni. Oppure puoi build un rubinetto di networking se vuoi rotolare il ghetto.

Si tratta di un elenco di interruttori e istruzioni su come abilitare il mirroring delle porte.

E se stai usando un rubinetto di networking, in genere hai bisogno di 2 interfacce per monitorare un collegamento specifico: è necessario monitorare l'in e l'output e speriamo che il tuo software possa eseguire l'aggregazione per te.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.