Port mirror 的設定問題... - 資安

抱歉又來打擾大家了 ....先前我有遇到客戶端電腦有中毒導致

產生網路對外攻擊的行為 ...


目前有找出幾台中毒的電腦處理好了 ...

該單位的網路也乖乖的好一陣子 ...


但是為了避免以後又有類似的情況發生

我想去弄一台有支援 port mirror 的 switch

還有二手的主機裝了 CentOS 掛上 網路流量分析監控的玩意


想請問大家的是 現在架構如果是這樣子


客戶端分享器 Lan ------- 接到 8 port switch Lan 1 的位置 ----

8 port 的 Lan 3 的位置 --------------接到客戶一般便宜 16 port switch 上


16 port switch 接到客戶他們每個人的電腦上 .....




我的 CentOS 用來做流量分析 的電腦 -------接到 8 port switch Lan 2




我現在做 port mirror


Source port --- Lan 3
Destination port --- Lan 2

這樣應該沒錯吧 ??


那 Lan 1 呢 ?


我需要把 Lan 1 也 mirror 到 Lan 2 嗎 ?




有上網查了一下 , 大家都是高手 , 只有討論 port mirror 怎麼設定



還有一個問題是


如果 port mirror 到 Lan 2 之後

該台電腦還能上網 , 瀏覽網頁之類的嗎 ..


有看到部分 Cisco Switch 好像做了 port mirror 之後

該 port 就只能做流量分析 '網路上其他電腦也看不到流量分析這台電腦的說法



感謝大家的幫忙













--