Network Sniffing e Hubs

6

Isto provavelmente parecerá ingênuo para os especialistas ... mas tem sido em minha mente ultimamente.

Por anos eu tenho usado ntop e um hub barato de 4 portas para farejar redes de clientes para determinar quem está fazendo o que -- e quanto. Ótima maneira de ver o que está acontecendo quando eles ligam e dizem "Geeze, a rede parece muito lenta hoje". Não há necessidade de trazer um switch gerenciado (ou acessar o já existente) e não há necessidade de configurar o spanning ou o espelhamento. Acabei de largar o hub inline onde quero medir.

Ultimamente, percebi que é praticamente impossível comprar um verdadeiro hub de honestidade para o bem. Enquanto procurava por um novo, alguém me disse que eu deveria ter um hub full-duplex ou só veria metade do tráfego ao monitorar.

Realmente?

Eu tenho usado um velho Netgear DS104 todo esse tempo. Nenhuma pista se é metade ou FD. Eu realmente estive subestimando minhas medições? Eu não sou muito inteligente o suficiente sobre a camada física para realmente saber ...

Nota: apenas solicitei um Dualcomm Ethernet Switch TAP como substituto do hub. Parece um gadget bacana. Quaisquer notas ou dicas sobre isso seriam bem-vindas nos comentários: -)

    
por Chris_K 27.02.2011 / 15:59

3 respostas

3

O problema é que, embora um hub normalmente permita apenas comunicações half-duplex (já ouvi falar de hubs full-duplex, mas nunca vi um), isso não significa que você só vá veja metade do tráfego, o que significa é que os dispositivos que se comunicam entre si através do hub se comunicarão em half-duplex. Você ainda verá todo o tráfego passando pelo hub. Quando o clientA se comunica com o clientB, você verá isso e quando o clientB responder ao clientA, você verá isso também. Um hub encaminha o tráfego para todas as portas, assim você verá todo o tráfego, independentemente do duplex.

No processo do seu monitoramento, você provavelmente está introduzindo um problema temporário de desempenho devido ao fato de que quaisquer dispositivos conectados ao hub provavelmente tentarão se comunicar em full-duplex (especialmente se estiverem codificados para full-duplex). duplex) e, portanto, ocorrerão colisões, sendo necessária a retransmissão de um pouco de tráfego, além da "lentidão" como resultado da natureza half-duplex do hub.

O bom de usar um hub é que ele funciona como um toque de rede passivo. Você pode inseri-lo em linha entre o switch do cliente e o firewall / roteador e monitorar seu uso da Internet, ver quem está indo onde, ver que tipo de uso está ocorrendo (HTTP, FTP etc.), ver o quanto da conexão à Internet está sendo utilizada e ver quanto tráfego de transmissão existe na rede.

O que você provavelmente não está vendo são problemas que exixam com hosts específicos na rede, pois você não pode inserir o hub entre todos os hosts da rede (você só pode conectar o hub a uma porta de switch, nem todos eles ). Para isso, você precisa de um comutador com capacidade de espelhamento de porta para poder espelhar o tráfego de portas de comutação específicas ou grupos de portas para a porta do monitor.

Eu uso um hub e um comutador com capacidade de espelhamento de porta, dependendo do problema que estou solucionando. Eu normalmente começo com um hub conectado entre o switch do cliente e o firewall / roteador. Isso me dá uma idéia de quanto tráfego de internet existe, que tipo de tráfego é, e me dá uma idéia de quanto está ocorrendo transmissão na rede. Eu diria que na maioria dos casos o problema é uma largura de banda de internet insuficiente ou um grande volume de broadcasting causando congestionamento, retransmissões, ACKs lentos, ACKs duplicados, etc.

    
por 27.02.2011 / 17:29
5

Dependendo do que você gosta, uma solução portátil é criar sua própria ponte de rede. Qualquer laptop com duas interfaces pode ser feito para isso. Conecte o fio da parede em uma interface e um segundo fio no dispositivo que está relatando o problema e passe o farejamento na ponte.

As portas duplas podem ser encontradas de várias maneiras. USB NICs ou use esse slot ExpressCard nunca usado em alguns laptops para adicionar uma segunda NIC GigE ( exemplo de dispositivo em NewEgg).

No Linux, existem alguns comandos no modo root para configurá-lo.

brctl addbr snifbr
brctl addif snifbr eth0 eth1

O mesmo pode ser feito no Windows através do Compartilhamento de Conexão com a Internet e outros meios, mas não sei o que eles estão fazendo.

E agora, uma nota secundária:

A facilidade de fazer isso é um dos motivos pelos quais algumas redes implementam a segurança em nível de porta. Registre um endereço MAC específico para um conector Ethernet específico, e é muito mais difícil fazer esse tipo de captura de pacote embutido. Não é impossível, apenas mais difícil.

A vantagem de usar este método é que ele não requer um bloco de energia adicional para o switch / hub, tudo é auto-contido no laptop. Você pode até mesmo adicionar um endereço à ponte se precisar.

ifconfig snifbr 10.31.25.101 netmask 255.255.255.0

E SSH para capturas remotas.

    
por 27.02.2011 / 17:50
3

Se for um hub, deve ser half-duplex. É difícil encontrar um hub e praticamente impossível encontrar um "hub" de 100MB.

Hoje em dia, 10 MB simplesmente não cortam, então os hubs não são realmente uma ótima solução.

Os switches gerenciados que podem fazer o espelhamento de porta não são tão caros hoje em dia. Ou você pode criar você mesmo como um toque de rede, se quiser rolar o estilo do gueto.

Esta é uma lista de opções e instruções sobre como habilitar o espelhamento de portas.

E se você estiver usando um toque de rede, normalmente você precisa de 2 interfaces para monitorar um determinado link - você precisa monitorar a entrada e a saída e esperamos que seu software possa fazer a agregação para você.

    
por 27.02.2011 / 16:24