※ 引述《Peterick (內有名片自介 ♂)》之銘言： : 抱歉又來打擾大家了 ....先前我有遇到客戶端電腦有中毒導致 : 產生網路對外攻擊的行為 ... : 目前有找出幾台中毒的電腦處理好了 ... : 該單位的網路也乖乖的好一陣子 ... : 但是為了避免以後又有類似的情況發生 : 我想去弄一台有支援 port mirror 的 switch : 還有二手的主機裝了 CentOS 掛上 網路流量分析監控的玩意 : 想請問大家的是 現在架構如果是這樣子 : 客戶端分享器 Lan ------- 接到 8 port switch Lan 1 的位置 ---- : 8 port 的 Lan 3 的位置 --------------接到客戶一般便宜 16 port switch 上 : 16 port switch 接到客戶他們每個人的電腦上 ..... : 我的 CentOS 用來做流量分析 的電腦 -------接到 8 port switch Lan 2 : 我現在做 port mirror : Source port --- Lan 3 : Destination port --- Lan 2 : 這樣應該沒錯吧 ?? : 那 Lan 1 呢 ? : 我需要把 Lan 1 也 mirror 到 Lan 2 嗎 ? port mirror 在 source port 可再細分為 Tx & Rx. 如果你的 8 port switch 可以同時 mirror Tx & Rx, 那麼 Lan1 就不必再 mirror 至 Lan2. 如果該 8 port switch 只能 mirror Rx, 那就要同時把 Lan1 & Lan3 mirror 進 Lan2. : 有上網查了一下 , 大家都是高手 , 只有討論 port mirror 怎麼設定 : 還有一個問題是 : 如果 port mirror 到 Lan 2 之後 : 該台電腦還能上網 , 瀏覽網頁之類的嗎 .. : 有看到部分 Cisco Switch 好像做了 port mirror 之後 : 該 port 就只能做流量分析 '網路上其他電腦也看不到流量分析這台電腦的說法 : 感謝大家的幫忙 是的, 所以拿來做 SNIFFER 的電腦通常會有兩張網卡 or 一張卡兩個 port. 一個 port 拿來收 mirror 封包一個 port 拿來做連線管理. -- 怎能忍受 我的離去 為妳帶來的憾事與傷悲 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 123.204.46.157