Odposlech sítě - bylo [OT] Ethernet HUB 100 Mbps

[Petr Labaj]

V souvislosti s proběhlým vláknem o 100Mbps HUBu pro odposlech sítového
provozu krátké poznámky na příbuzné téma.

Že vyšší verze chytrých switchů umí na HW úrovni mirroring nějakého portu
(případně některé dokonce i několika portů) na diagnostický port se asi 
obecně ví.

O čem se možná ví už méně, že tohle umí dokonce i ty laciné switche, 
které jsou
součástí levných WiFi AP a routerů. V mém případě nějaký už dost starý 
TP-link.
Aby to bylo uživatelsky přístupné, tak to samozřejmě musí podporovat 
firmware.
OpenWRT (který cpu všude kam to jen jde) to umí.

O čem jsem ale nevěděl a zjistil až v souvislosti s laborování kolem 
toho HUBu je,
že existují i 2 různá provedení mirroringu na SW bázi. Konkrétně ve 
formě filtru
do Linuxového iptables, který je základem snad skoro všech dnešních 
malých firewallů
a také základem síťové ochrany přímo v Linuxu.

Jsou 2 varianty: TEE a TZSP.
TEE změní hlavičku paketu a pošle ji na monitorující počítač. Takže se 
ten monitorující
nedozví původní adresu, kam byl paket poslán.
TZSP to dělá tak, že vezme celý paket v původní podobě, zabalí ho do 
obálky a pošle
UDP protokolem. Monitorující PC si ho pak zase musí vybalit.
Wireshark by měl umět přijímat oboje. Ale zatím jsem to nezkoušel.

Výhodou je, že monitorující počítač nemusí běžet v promiskuitním režimu 
a tedy by
mohl být i za switchem nebo dokonce routerem.
Na rozdíl od HW monitoringu, kdy musí mít přímý přístup na ten port, kam 
se zrcadlí provoz.
Zaujalo mě to, určitě to vyzkouším.

PL