Etwas in meinem Ethernet-LAN sendet gelegentlich falsche doppelte Pakete aus, und ich muss es aufspüren. Der Schuldige ist wahrscheinlich ein Switch oder eine andere Bridge (z. B. ein Wi-Fi-AP) und kein Endpunkt, da die duplizierten Pakete nicht immer von derselben Quell-MAC-Adresse stammen.
Ich denke darüber nach, einen verwaltbaren Switch zu bekommen, der die Portspiegelung unterstützt, und ihn mit einem Sniffer zu verwenden, um den Verkehr in einen Port hinein und aus diesem heraus zu schnüffeln, aber ich muss wissen, in welche Richtung jedes erfasste Paket gesendet wurde, damit ich erkennen kann, in welche Richtung Das Original und das Duplikat stammten von. Wenn ich in meinem Netzwerk einen Ort finde, an dem das Original und das Duplikat aus verschiedenen Richtungen stammen, muss der Täter auf der Seite sein, von der das Duplikat stammt.
Mein Problem ist, dass ich mit den Port-Mirroring-Switches, mit denen ich in der Vergangenheit gearbeitet habe, nur "beide Richtungen" (Senden und Empfangen) von einem bestimmten Port zum Spiegelport spiegeln konnte.
Kann jemand eine Lösung vorschlagen, die es mir ermöglicht, nur eine Richtung zu spiegeln? Ich denke daran, zwei Schnüffler anzuschließen, einen für die "Tx" -Richtung und einen für die "Rx" -Richtung, damit ich erkennen kann, in welche Richtung die Pakete gingen. Es macht mir nichts aus, einen neuen handlichen Schalter zu kaufen oder zu tippen, um dies zu erreichen.
Ich bin offen für andere Ideen zum Aufspüren der Quelle von unechten Paketduplikationen. Beachten Sie jedoch, dass meine aktuellen Switches in diesem Netzwerk nicht besonders verwaltbar sind. Daher Lösungen, die verwaltbare Switches voraussetzen (z. B. "Aktivieren Sie die eine oder andere Paketverfolgung" "oder" Statistiken über SNMP von all Ihren Switches abrufen und die Daten in <app> verarbeiten ") sind in meiner Situation wahrscheinlich nicht praktikabel.
quelle