网络嗅探和集线器

Question

这对专家来说可能看起来很幼稚……但我最近一直在想。

多年来，我一直在使用ntop和一个便宜的 4 端口集线器来嗅探客户端网络，以确定谁在做什么——以及做了多少。当他们打电话说“天哪，今天的网络似乎真的很慢”时，可以很好地了解发生了什么。无需引入托管交换机（或访问现有交换机），也无需配置跨接或镜像。我只是在我想测量的地方内嵌集线器。

最近我注意到几乎不可能再购买一个真正的诚实至善的集线器了。在寻找新的集线器时，有人告诉我，我应该确保获得一个全双工集线器，否则我在监控时只会看到一半的流量。

真的吗？

这段时间我一直在使用老旧的 Netgear DS104。不知道是一半还是FD。我真的低估了我的测量值吗？我只是对物理层不够了解，无法真正了解......

旁注：刚刚订购了一个Dualcomm 以太网交换机 TAP作为集线器替代品。看起来像一个漂亮的小工具。欢迎在评论中提供有关它的任何注释或提示:-)

Answer 1

根据您的习惯，可移植的解决方案是构建您自己的网桥。任何具有两个接口的笔记本电脑都可以做到这一点。将墙上的电线插入一个接口，将另一根电线插入报告问题的设备，并在桥上运行您的嗅探。

双端口可以通过多种方式找到。USB NIC，或使用某些笔记本电脑上从未使用过的 ExpressCard 插槽添加第二个 GigE NIC（NewEgg 的示例设备）。

在 Linux 上，它是一些根模式命令来设置它。

brctl addbr snifbr
brctl addif snifbr eth0 eth1

同样可以通过 Internet 连接共享和其他方式在 Windows 上完成，但我不知道它们是什么。

现在，附注：

这样做很容易是一些网络部署端口级安全性的原因之一。为特定的以太网插孔注册特定的 MAC 地址，进行这种内联数据包捕获要困难得多。不是不可能，只是更难。

使用这种方法的优点是它不需要为交换机/集线器添加额外的电源块，它完全独立于笔记本电脑中。如果需要，您甚至可以向网桥添加地址。

ifconfig snifbr 10.31.25.101 netmask 255.255.255.0

并通过 SSH 连接到它以进行远程捕获。

Answer 2

问题是，虽然集线器通常只允许半双工通信（我听说过全双工集线器，但我从未见过），但这并不意味着您只会看到一半的通信流量，这意味着通过集线器相互通信的设备将以半双工方式进行通信。您仍然会看到通过中心的所有流量。当 clientA 与 clientB 通信时，您会看到这一点，当 clientB 响应 clientA 时，您也会看到这一点。集线器将流量转发到所有端口，因此您将看到所有流量，无论双工如何。

在监视过程中，您可能会引入临时性能问题，因为连接到集线器的任何设备都可能会尝试以全双工进行通信（特别是如果它们被硬编码为全双工）并且因此，将会发生冲突，除了由于集线器的半双工性质而导致的“减速”之外，还需要重新传输相当多的流量。

使用集线器的好处是它充当无源网络分流器。您可以将其插入客户交换机和防火墙/路由器之间，并监控他们的互联网使用情况，查看谁去哪里，查看正在发生什么类型的使用情况（HTTP、FTP 等），查看他们的互联网连接使用情况，并查看网络中存在多少广播流量。

您可能没有看到网络上特定主机存在的问题，因为您无法在网络上的每台主机之间插入集线器（您只能将集线器连接到一个交换机端口，而不是所有交换机端口）。为此，您需要具有端口镜像功能的交换机，以便您可以将特定交换机端口或端口组的流量镜像到监控端口。

我使用集线器和具有端口镜像功能的交换机，具体取决于我要排除的问题。我通常从连接在客户交换机和防火墙/路由器之间的集线器开始。这让我了解有多少互联网流量，它是什么类型，并让我了解网络上发生了多少广播。我想说的是，在大多数情况下，问题是互联网带宽不足或大量广播导致拥塞、重新传输、缓慢的 ACK、重复的 ACK 等。