Port mirror 的設定問題... - 資安

※ 引述《Peterick (內有名片自介 ♂)》之銘言：
: 抱歉又來打擾大家了 ....先前我有遇到客戶端電腦有中毒導致
: 產生網路對外攻擊的行為 ...
: 目前有找出幾台中毒的電腦處理好了 ...
: 該單位的網路也乖乖的好一陣子 ...
: 但是為了避免以後又有類似的情況發生
: 我想去弄一台有支援 port mirror 的 switch
: 還有二手的主機裝了 CentOS 掛上 網路流量分析監控的玩意
: 想請問大家的是 現在架構如果是這樣子
: 客戶端分享器 Lan ------- 接到 8 port switch Lan 1 的位置 ----
: 8 port 的 Lan 3 的位置 --------------接到客戶一般便宜 16 port switch 上
: 16 port switch 接到客戶他們每個人的電腦上 .....
: 我的 CentOS 用來做流量分析 的電腦 -------接到 8 port switch Lan 2
: 我現在做 port mirror
: Source port --- Lan 3
: Destination port --- Lan 2
: 這樣應該沒錯吧 ??
: 那 Lan 1 呢 ?
: 我需要把 Lan 1 也 mirror 到 Lan 2 嗎 ?

port mirror 在 source port 可再細分為 Tx & Rx.
如果你的 8 port switch 可以同時 mirror Tx & Rx,
那麼 Lan1 就不必再 mirror 至 Lan2.
如果該 8 port switch 只能 mirror Rx, 那就要同時把 Lan1 & Lan3 mirror 進 Lan2.

: 有上網查了一下 , 大家都是高手 , 只有討論 port mirror 怎麼設定
: 還有一個問題是
: 如果 port mirror 到 Lan 2 之後
: 該台電腦還能上網 , 瀏覽網頁之類的嗎 ..
: 有看到部分 Cisco Switch 好像做了 port mirror 之後
: 該 port 就只能做流量分析 '網路上其他電腦也看不到流量分析這台電腦的說法
: 感謝大家的幫忙

是的, 所以拿來做 SNIFFER 的電腦通常會有兩張網卡 or 一張卡兩個 port.
一個 port 拿來收 mirror 封包一個 port 拿來做連線管理.


--
怎能忍受
我的離去
為妳帶來的憾事與傷悲

--