Home
Contents

Мониторинг Локальных и Беспроводных Сетей - Методики, Советы, Топологии Сетей
Prev Page Next Page
 

Мониторинг с помощью хабов



В небольших сетях хабы достаточно распространены из-за их небольшой стоимости, но все же следует обратить внимание на возможные проблемы в их применении. Во-первых, хабы открыты для несанкционированного мониторинга изнутри вашего сегмента сети, поскольку каждый порт может быть использован для promiscuous-мониторинга. Во-вторых, различные виды “интеллектуальных” хабов (“auto-sensing”, “dual-speed”, “switching”, “intelligent”) могут не позволить вам вести мониторинг всего сегмента сети. Эта проблема обсуждается в следующем разделе, а сейчас мы рассмотрим несколько вариантов сетей с использованием хабов.

 

Вариант 1

 

 

Это наиболее простой и очевидный вариант. Здесь любой компьютер, подключенный к хабу, может быть компьютером для мониторинга, поскольку хаб передает принятые/переданные данные от маршрутизатора (router) на все порты. Также отметим, что возможен мониторинг обмена между локальными ПК.

 

Вариант 2

 

 

В этом варианте хаб находится между маршрутизатором и коммутатором. Вы можете наблюдать данные, передаваемые/получаемые из Интернета, но данные, которыми обмениваются локальные ПК, вам недоступны.

 

Вариант 3

 

В данном варианте показано, как можно осуществлять мониторинг небольшой локальной сети, в которой нет коммутатора. Это типичная топология домашней или небольшой офисной сети, где маршрутизатор совмещен с коммутатором, к которому в свою очередь подключены другие компьютеры. Для мониторинга данных, передаваемых или принимаемых из Интернета, вы можете установить хаб между Интернетом и вашим маршрутизатором. Важно отметить, что программа сетевого мониторинга не сможет различать трафик от разных рабочих станций, если у этих рабочих станций, находящихся за маршрутизатором, не будет внешних (routable) IP-адресов. Если у них нет внешних IP-адресов, то все пакеты будут иметь один IP-адрес, т.е. публичный IP-адрес вашей сети.

 

Компьютер для мониторинга, находящийся вне вашего сегмента сети, должен быть абсолютно пассивным, т. е. его сетевой интерфейс должен использоваться только для перехвата данных. Этого можно достичь путем назначения сетевой карте внутреннего (non-routable) IP-адреса, например, 10.0.0.1, или вообще отключив от адаптера TCP/IP-стек. Для достижения такой пассивности может быть использован кабель “только для чтения”; этот метод мы обсудим ниже.

 

Вариант 4

 

Этот вариант является разновидностью варианта №3, но здесь функции мониторинга выполняет одна из рабочих станций, имеющая две сетевых карты: первая используется для обычного обмена данными внутри локальной сети, а вторая для мониторинга. Для приведения второй NIC в пассивное состояние следует выполнить действия, описанные для варианта №3. Этот вариант следует рассматривать как бюджетное решение.