Сетевой сниффинг и концентраторы
Crystaltech имеет планы торгового посредника с функциями, которые Вы упомянули. Я использовал их в течение многих лет (не как торговый посредник) и всегда был доволен их поддержкой.
Вещь, в то время как концентратор действительно обычно допускает только полудуплексную связь (я услышал о полнодуплексных концентраторах, но я никогда не видел один), который не означает, что Вы только собираетесь видеть половину трафика, что это означает, то, что устройства, общающиеся друг с другом через концентратор, свяжутся в полудуплексном. Вы будете все еще видеть весь трафик, проходящий через концентратор. Когда clientA свяжется с clientB, Вы будете видеть, что и когда clientB ответит на clientA, Вы будете видеть это также. Концентратор передает трафик ко всем портам, таким образом, Вы будете видеть весь трафик независимо от дуплекса.
В процессе Вашего контроля Вы, вероятно, представляете временную проблему производительности из-за того, что любые устройства, подключенные к концентратору, вероятно, собираются попытаться связаться в полнодуплексном (особенно, если они трудно кодируются к полнодуплексному), и поэтому коллизии произойдут, требуя ретранслирования довольно мало трафика в дополнение к "замедлению" в результате полудуплексной природы концентратора.
Вещь это хорошо об использовании концентратора, состоит в том, что оно действует как пассивное сетевое касание. Можно вставить его встроенный между коммутатором заказчика и брандмауэром/маршрутизатором и контролировать их использование Интернета, видеть, кто идет, где, посмотрите, какое использование происходит (HTTP, FTP, и т.д.), посмотрите, сколько из их интернет-соединения используется, и посмотрите, сколько широковещательного трафика существует в сети.
Что Вы, вероятно, не видите, проблемы, что exixt с определенными хостами в сети, поскольку Вы не можете вставить концентратор между каждым хостом в сети (можно только подключить концентратор к одному порту коммутатора, не всем им). Для этого Вам нужен переключатель с возможностью зеркального отражения порта так, чтобы можно было зеркально отразить трафик от определенных портов коммутатора или групп портов к порту монитора.
Я использую и концентратор и порт, зеркально отражающий способный переключатель, в зависимости от проблемы, которую я диагностирую. Я обычно запускаю с концентратора, соединенного между коммутатором заказчика и брандмауэром/маршрутизатором. Это дает мне дескриптор на сколько интернет-трафика, там, какой трафик это и дает мне чувство для того, сколько широковещательной передачи происходит в сети. Я сказал бы, что в большинстве случаев проблема оказывается недостаточной интернет-пропускной способностью или большим объемом широковещательной передачи порождения перегрузки, ретранслирует, медленный ACK, дублирующийся ACK, и т.д.
В зависимости от того, чем Вы довольны, портативное решение состоит в том, чтобы создать Ваш собственный сетевой мост. Любой ноутбук с двумя интерфейсами может быть сделан сделать это. Включите провод от стены в один интерфейс и второй провод в устройство это сообщает о проблеме и выполняет Ваш сниффинг на мосту.
Двойные порты могут быть найдены много путей. USB NICs или использование, что никогда используемый слот ExpressCard на некоторых ноутбуках для добавления второго GigE NIC (устройство в качестве примера в Newegg).
На Linux это - несколько команд корневого режима для установки его.
brctl addbr snifbr
brctl addif snifbr eth0 eth1
То же может быть сделано в Windows посредством Общего доступа к интернету и других средств, но я не знаю то, что они первое, что пришло на ум.
И теперь, заметка на полях:
Простота выполнения этого является одной причиной, некоторые сети развертывают безопасность уровня порта. Зарегистрируйте определенный MAC-адрес для определенного разъема Ethernet, и намного более трудно сделать этот вид встроенного захвата пакетов. Не невозможный, просто тяжелее.
Преимущество использования этого метода состоит в том, что это не требует дополнительного кирпича питания для переключателя/концентратора, это является все автономным в ноутбуке. Можно даже добавить адрес к мосту, если Вы должны.
ifconfig snifbr 10.31.25.101 netmask 255.255.255.0
И SSH в него для удаленных получений.
Если это - концентратор, это должен быть полудуплекс. Трудно найти концентратор и фактически невозможный найти 100 МБ "концентратором".
В эти дни 10 МБ просто не сокращают, это так концентрирует, действительно не отличное решение.
Управляемые коммутаторы, которые могут сделать зеркальное отражение порта, не являются действительно всем что дорогой в эти дни. Или можно создать себя сетевое касание, если Вам нравится прокручивать стиль гетто.
Это - список переключателей и инструкции относительно того, как включить зеркальное отражение порта.
И если Вы используете сетевое касание, обычно Вам нужны 2 интерфейса для контроля данной ссылки - необходимо контролировать в и, и надо надеяться программное обеспечение может сделать агрегирование для Вас.