网络嗅探和集线器

Modified on: Sat, 09 Nov 2019 15:20:02 +0800

这对专家来说似乎很幼稚......但最近我一直在想。

多年来,我一直在使用ntop和廉价的4端口集线器来嗅探客户端网络,以确定谁在做什么 - 以及多少。很好的方式来看看当他们打电话说“Geeze,今天的网络看起来真的很慢”时会发生什么。无需引入托管交换机(或访问现有交换机),无需配置跨区或镜像。我只是插入我要测量的中心内联。

最近我注意到,只有不可能才能再购买一个真正诚实的中心。在寻找一个新的时候,我有人告诉我,我应该确保得到一个全双工集线器,或者当我监控时我只能看到一半的流量。

真的?

我一直在使用硬壳的旧Netgear DS104。不知道它是一半还是FD。我是否真的低估了我的测量值?我对物理层的了解还不够明白......

旁注:刚刚订购了Dualcomm以太网交换机TAP轮毂更换。看起来像一个漂亮的小工具。任何有关它的提示或提示都欢迎在评论中: - )

作者:Chris_K

最佳答案

问题是,虽然集线器通常只允许半双工通信(我听说过全双工集线器,但我从未见过它),这并不意味着你只会去看到一半的流量,这意味着通过集线器相互通信的设备将以半双工通信。您仍然可以看到通过集线器的所有流量。当clientA与clientB进行通信时,您会看到,当clientB响应clientA时,您也会看到它。集线器将流量转发到所有端口,因此无论双工都是如此,您都可以看到所有流量。

在您的监控过程中,您可能会引入临时性能问题,因为连接到集线器的任何设备可能会尝试以全双工方式进行通信(特别是如果它们被硬编码为完全 - 因此,由于集线器的半双工特性,除了“减速”之外,还会发生冲突,因此需要重新传输相当多的流量。

使用集线器的好处在于它充当了被动网络分流器。您可以将其插入客户交换机和防火墙/路由器之间,并监控其互联网使用情况,查看谁在哪里,查看正在发生的用途(HTTP,FTP等),查看他们的互联网连接使用了多少,并查看网络中存在多少广播流量。

您可能没有看到的是与网络上的特定主机有关的问题,因为您无法在网络上的每台主机之间插入集线器(您只能将集线器连接到一个交换机端口,而不是所有这些端口)。为此,您需要一台具有端口镜像功能的交换机,以便您可以将来自特定交换机端口或端口组的流量镜像到监控端口。

我使用集线器和端口镜像功能的交换机,具体取决于我正在排除故障的问题。我通常从连接在客户交换机和防火墙/路由器之间的集线器开始。这让我了解了有多少互联网流量,它是什么类型的流量,并让我了解网络上发生了多少广播。我要说的是,在大多数情况下,问题是互联网带宽不足或大量广播导致拥塞,重新传输,减慢ACK,重复ACK等等。

作者:,joeqwerty

相关问答

添加新评论