※ 引述《Peterick (内有名片自介 ♂)》之铭言： : 抱歉又来打扰大家了 ....先前我有遇到客户端电脑有中毒导致 : 产生网路对外攻击的行为 ... : 目前有找出几台中毒的电脑处理好了 ... : 该单位的网路也乖乖的好一阵子 ... : 但是为了避免以後又有类似的情况发生 : 我想去弄一台有支援 port mirror 的 switch : 还有二手的主机装了 CentOS 挂上 网路流量分析监控的玩意 : 想请问大家的是 现在架构如果是这样子 : 客户端分享器 Lan ------- 接到 8 port switch Lan 1 的位置 ---- : 8 port 的 Lan 3 的位置 --------------接到客户一般便宜 16 port switch 上 : 16 port switch 接到客户他们每个人的电脑上 ..... : 我的 CentOS 用来做流量分析 的电脑 -------接到 8 port switch Lan 2 : 我现在做 port mirror : Source port --- Lan 3 : Destination port --- Lan 2 : 这样应该没错吧 ?? : 那 Lan 1 呢 ? : 我需要把 Lan 1 也 mirror 到 Lan 2 吗 ? port mirror 在 source port 可再细分为 Tx & Rx. 如果你的 8 port switch 可以同时 mirror Tx & Rx, 那麽 Lan1 就不必再 mirror 至 Lan2. 如果该 8 port switch 只能 mirror Rx, 那就要同时把 Lan1 & Lan3 mirror 进 Lan2. : 有上网查了一下 , 大家都是高手 , 只有讨论 port mirror 怎麽设定 : 还有一个问题是 : 如果 port mirror 到 Lan 2 之後 : 该台电脑还能上网 , 浏览网页之类的吗 .. : 有看到部分 Cisco Switch 好像做了 port mirror 之後 : 该 port 就只能做流量分析 '网路上其他电脑也看不到流量分析这台电脑的说法 : 感谢大家的帮忙 是的, 所以拿来做 SNIFFER 的电脑通常会有两张网卡 or 一张卡两个 port. 一个 port 拿来收 mirror 封包一个 port 拿来做连线管理. -- 怎能忍受 我的离去 为你带来的憾事与伤悲 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 123.204.46.157