web-dev-qa-db-ja.com

ネットワークスニッフィングとハブ

これは専門家にはナイーブに見えるかもしれません...しかし最近私の頭に浮かびました。

何年もの間、私は ntop と安価な4ポートハブを使用して、クライアントネットワークをスニッフィングし、誰が何をしているのかを判断しています。彼らが「そうねえ、今日のネットワークは本当に遅いようだ」と言ったときに何が起こっているのかを知るための素晴らしい方法。マネージドスイッチを導入する(または既存のスイッチにアクセスする)必要はなく、スパニングやミラーリングを構成する必要もありません。測定したいハブをインラインでドロップするだけです。

最近、本当の誠実なハブをもう購入することはほぼ不可能であることに気づきました。新しいハブを探しているときに、全二重ハブを必ず取得する必要があると誰かに言われました。そうしないと、監視するとトラフィックの半分しか表示されません。

本当に?

私はずっと無愛想な古いNetgearDS104を使ってきました。半分かFDかはわかりません。私は本当に自分の測定値を過小評価していますか?私は物理層について本当に知るのに十分な明るさ​​ではありません...

補足:ハブの交換として デュアルコムイーサネットスイッチTAP を注文したばかりです。気の利いたガジェットのようです。それについてのメモやヒントはコメントで歓迎されます:-)

networkingnetwork-monitoringntop
6
Chris_K

問題は、ハブは通常半二重通信のみを許可しますが(全二重ハブについて聞いたことはありますが、見たことがありません)、それはあなたが半分しか見ないという意味ではありませんトラフィックとは、ハブを介して相互に通信するデバイスが半二重で通信することを意味します。ハブを通過するすべてのトラフィックが引き続き表示されます。 clientAがclientBと通信すると、それが表示され、clientBがclientAに応答すると、それも表示されます。ハブはトラフィックをすべてのポートに転送するため、デュプレックスに関係なくすべてのトラフィックが表示されます。

監視の過程で、ハブに接続されているデバイスが全二重で通信を試みる可能性があるため(特に、全二重にハードコーディングされている場合)、一時的なパフォーマンスの問題が発生している可能性があります。したがって、衝突が発生し、ハブの半二重性の結果としての「スローダウン」に加えて、かなりの量のトラフィックの再送信が必要になります。

ハブを使用することの良い点は、ハブがパッシブネットワークタップとして機能することです。カスタマースイッチとファイアウォール/ルーターの間にインラインで挿入し、インターネットの使用状況を監視し、誰がどこに行くのか、どのような使用状況(HTTP、FTPなど)が発生しているか、インターネット接続の使用量を確認できます。 、およびネットワークに存在するブロードキャストトラフィックの量を確認します。

ネットワーク上のすべてのホスト間にハブを挿入できないため、ネットワーク上の特定のホストに存在する問題がおそらく発生しません(ハブは、すべてではなく1つのスイッチポートにのみ接続できます)。そのためには、特定のスイッチポートまたはポートのグループからモニターポートにトラフィックをミラーリングできるように、ポートミラーリング機能を備えたスイッチが必要です。

トラブルシューティングしている問題に応じて、ハブとポートミラーリング対応スイッチの両方を使用しています。私は通常、カスタマースイッチとファイアウォール/ルーターの間に接続されたハブから始めます。これにより、インターネットトラフィックの量、トラフィックの種類を把握し、ネットワーク上で発生しているブロードキャストの量を把握できます。ほとんどの場合、問題はインターネット帯域幅の不足または大量のブロードキャストであり、輻輳、再送信、遅いACK、重複したACKなどを引き起こしていると言えます。

3
joeqwerty

何に慣れているかに応じて、ポータブルソリューションは独自のネットワークブリッジを構築することです。 2つのインターフェースを備えたラップトップならどれでもそれを行うことができます。壁からのワイヤーを1つのインターフェースに接続し、2番目のワイヤーを問題を報告しているデバイスに接続して、ブリッジでスニフを実行します。

デュアルポートはさまざまな方法で見つけることができます。 USB NIC、または一部のラップトップで使用されていないExpressCardスロットを使用して、2番目のGigE NIC( デバイスの例 at NewEgg)を追加します。

Linuxでは、それを設定するためのいくつかのルートモードコマンドがあります。

brctl addbr snifbr
brctl addif snifbr eth0 eth1

Windowsでもインターネット接続の共有などの方法で同じことができますが、何が頭から離れているのかわかりません。

そして今、補足:

これを簡単に行うことが、一部のネットワークがポートレベルのセキュリティを展開する理由の1つです。特定のイーサネットジャックに特定のMACアドレスを登録すると、この種のインラインパケットキャプチャを実行するのが非常に困難になります。不可能ではありませんが、もっと難しいです。

この方法を使用する利点は、スイッチ/ハブに追加の電源ブリックを必要とせず、すべてラップトップに内蔵されていることです。必要に応じて、ブリッジにアドレスを追加することもできます。

ifconfig snifbr 10.31.25.101 netmask 255.255.255.0

そして、リモートキャプチャのためにそれにSSHで接続します。

5
sysadmin1138

ハブの場合、は半二重である必要があります。ハブを見つけるのは難しく、100MBの「ハブ」を見つけることは事実上不可能です。

最近の10mbはそれをカットしないので、ハブは本当に素晴らしいソリューションではありません。

ポートミラーリングを実行できるマネージドスイッチは、最近ではそれほど高価ではありません。または、ゲットースタイルをロールバックしたい場合は、 build 自分でネットワークタップすることができます。

This は、ポートミラーリングを有効にする方法に関するスイッチと手順のリストです。

また、ネットワークタップを使用している場合、通常、特定のリンクを監視するには2つのインターフェイスが必要です。インとアウトを監視する必要があり、ソフトウェアが集約を実行できることを願っています。

3
chris