Архив форумов ЦИТФорума

[DmitriyS]

Дано:
Имеется линуксовый сервак (2.4.21 на mosix'е) с 4-мя сетевыми картами.
eth0 и eth1 форвардят между друг другом пакеты.
Задача:
нужно каким-то образом пакеты, которые идут через и 1-й интервейс (в обоих направления) дублировать на eth3. За eth3 сидит сервак со снифером, который будет анализировать трафик.
Можно ли реализовать такую схему, и на чём?
Заранее всем спасибо.

[DmitriyS]

К пред. посту (не всё пропечаталось)
... нужно каким-то образом пакеты, которые идут через нулевой и первый интервейсы ...

[and3008]

Либо снимать трафик снифером непосредственно на компе. Ну и отдавать на другую сетевуху через какую-нибудь софтинку.

Либо использовать функцию зеркалирования порта. Такую функцию поддерживают практически все управляемые коммутаторы и некоторые маршрутизаторы.

В случае необходимости контролирования loopback однозначно надо играться с tcpdump и ему подобными сниферами. Зеркалировать такой трафик на eth3 не получится, а вот отдавать через NFS или smbfs в виде файла и передавать его через eth3 наверняка получится.

[совсем незнакомый]

если эти карты одной модели,
можно залезть в драйвер карты, и дописать несколько строк.
конечно Сю надо знать для этого.

[DmitriyS]

Подскажи плиз относительно недорогой коммутатор с зеркалированием портов.

[and3008]

-

[DmitriyS]

8 портов за глаза...
не охота из-за этого каталист за 4000 уё покупать...

[and3008]

Только пройдясь по AlliedTelesyn, D-Link и 3COM я не видел управляемых 8-ми портовых свичей. Все на 24, да на 48 портов.

Есть малопортовые, но это гигабит...

У меня например стоит 3com SuperStack II 3300 На 12 портов. Древняя модель, но зеркалирование портов есть. На nag.ru висят банеры с продажей таких девайсов по 150 баксов. Сходи, погляди.

Из новых можешь взять например AT-8029 (Allied Telesyn)
24 порта, куча наворотов, но цена в районе 700 баксов.
Аналогичный D-Link дешевле, только вот модель хоть убей не помню.

Перед выбором прочти руководство к девайсу. Точно ли есть у него зеркалирование. У некоторых свичей его нету.

[DmitriyS]

-

[FSerg]

Если очень нужно, могу проверить, но не быстро.

[mare]

В добавление к словам And и "Совсем незнакомого" также можно предложить два варианта:

1. Аналогично And3008, но подешевле.

Не обязательно использовать функцию зеркалирования порта на "умных" коммутаторах и маршрутизаторах, можно воспользоваться и обычными хабами, через которые проходит весь трафик сервера.
В частности, если хаб поставить "на проходе" между портом eth1 сервера, а к этому же хабу подключить сервер со снифером, то снифер будет как раз анализировать весь трафик eth1.

Аналогично поступаем с eth0. Соответственно, ко второму хабу также должен подключаться сервер-снифер. При этом необходимо, чтобы сервер со снифером имел две сетевые карты, между которыми отсутствует маршрутизация.


2. Самое эффективное, но самое дорогое решение.

Приобретается аппаратно-программное устройство типа Proventia (от Internet Security Systems, Inc. - http://www.iss.net), и получаете "в одном флаконе" четырехпортовые - сетевой сканер, маршрутизатор, систему анализа вторжений и отражения атак, снифер (регистратор), файрвол.
При этом исключается необходимость в сервере-снифере.
Данное решение, пусть и дорогое, но позволит эффективно контролировать сеть и выполнять много вспомогательных функций.
Если нужны консультации, тебе скорее всего помогут партнеры ISS в России - ЗАО НИП "Информзащита" (если не ошибаюсь, - http://www.infosec.ru).
Сколько эта Proventia стоит, не знаю, но знаю, что недешево.
_________________
Не злись на видовс, всяк в нее входящий!

[совсем незнакомый]

[DmitriyS]

Спасибо. Я уже проверил действительно есть и работает

[DmitriyS]

Хаб тоже не подходит... пропускная способность не та...
Через этот сервак идёт гигов 400 внешки плюс весь остальной трафик примерно 1 тер. в месяц.

[совсем незнакомый]

Я не понял какая разница сколько трафика проходит в месяц ... если (не считал) не доходит до огр. хаба (10 или 100 МБ.сек) должен потянуть с нормальны эл. питанием ...
я ошибаюсь ?

[mare]

Если у DmitrijS сеть не гигабитная, то, как известно, существуют 100-мегабитные хабы. Соответственно, снифер будет слушать все, что передается через хаб.

Гигабитных хабов я не видел, но для гигабитных сетей применяются по крайней мере, нормальные (в смысле - умные) коммутаторы, либо маршрутизаторы. Мне трудно поверить, что гигабитное оборудование не позволяет работать с VLAN-ами и не обеспечивать зеркалирование портов.

Опять же, предельная пропускная способность 100-мегабитного хаба в день грубо = 10мегабайт/сек * 60 * 60 * 24 = примерно 860 гигабайт/сутки, а в месяц - более 25 терабайт.
Кстати, новые хабы работают в full duplex, следовательно, если оборудование сети поддерживает это режим, то предельные суммарные скорости обмена удваиваются.

Поэтому я не понимаю, почему нельзя технически использовать дешевый 4-5-портовый концентратор (хаб), который действительно дешевле умного коммутатора (свича) 2-го или 3-го уровня?

Меня интересует другое - какой программный снифер позволит:
а) работать на предельной скорости?
б) где вы будете накапливать эти терабайты ?

А главное - зачем пытаться объять необъятное?
Объем регистрационной информации снифера будет не намного меньше самой передаваемой информации.

В случае, если мои прикидочные расчеты не удовлетворили, вас может удовлетворить лишь специализированное решение, требующее ручного программирования (об этом говорил "совсем незнакомый"), либо - катайтесь на "Мерседесах" типа Proventia/ISS, GrossBeam, IPGuardia, IPNokia....
---
_________________
Не злись на видовс, всяк в нее входящий!