Können moderne Switches wie Hubs wirken?

8

Ich habe versucht, einen Hub zu finden, speziell für die Paket-Broadcast-Eigenschaft. Ich behebe einen NAS hinter einem NAT-Router und möchte den auf dem Kabel eintreffenden Datenverkehr überprüfen. Dies scheint der einfachste und schnellste Weg zu sein.

Unabhängig davon - das ist keine Frage. Diese Frage ist hier - Ich hatte Schwierigkeiten, nur einfache Hubs zu finden. Fast alles in diesen Tagen ist Schalter, wie es scheint. Das hat mich gefragt, ob vielleicht moderne Switches dazu gebracht werden können, Pakete wie einen Hub zu senden, was Hubs unnötig macht. Kann jemand bestätigen, ob dies tatsächlich der Fall ist?

networking switch hub Allen
quelle
Hubs sind keine "Spezialgeräte", um den Rundfunk effizienter zu gestalten. Sie sind einfach die ältere Technologie aus einer Zeit der Netzwerke, in der sich alles auf einem gemeinsamen Bus befand und Übertragungen kollidieren konnten. Moderne (Gbit und höher) Ethernet-Netzwerke sind auf einer Punkt-zu-Punkt-Basis für elektrische Verbindungen ausgelegt, und es gibt keine TX-Kollisionen. Alles ist paketvermittelt. Daher ist die Aussage "Hubs unnötig machen" ziemlich irreführend, da es keine Anwendung für Hubs geben würde, da zwischen mehr als zwei Ethernet-Ports keine Verkabelung besteht.
PlasmaHH
Wenn Sie Hardware kaufen möchten, sollten Sie sich stattdessen einen Netzwerk-Tipp ansehen.
Colin Pickard

Antworten:

14

Nein, nicht vollständig (oder keiner, den ich jemals gesehen habe), aber Sie können verwaltete und intelligente Switches für die Portspiegelung verwenden , wodurch Sie den gesamten Datenverkehr auf dem Switch an einem Port erhalten.

Einige Leute glauben, dass Sie bestimmte Arten von Switches zwingen können, alle Frames, die sie an allen Ports empfangen, mithilfe eines MAC- oder ARP-Flood-Angriffs zu senden , aber ich habe keine Erfahrung mit solchen Dingen. Es ist eine sehr alte Sicherheitslücke, und die meisten Hersteller haben wahrscheinlich eine gewisse Schadensbegrenzung.

Frank Thomas
quelle
Können Sie nicht auch alle Ports gleich platzieren VLAN?
JWW
5
VLANs teilen sich eine Broadcast-Domäne, sodass Sie den gesamten Broadcast-Verkehr im VLAN sehen können. Der Switch ist jedoch immer noch eine mikrosegmentierte Architektur, sodass nur Verkehr an Mac-Adressen gesendet wird, von denen bekannt ist, dass sie sich an diesem Port befinden, oder an Broadcasts. Sie werden den gesamten Unicast-Verkehr von den anderen Ports auf dem Switch vermissen.
Frank Thomas
Dadurch können Sie nicht den gesamten Datenverkehr sehen, der dieses VLAN durchläuft (außer Broadcast-Datenverkehr). Sie müssen noch eine Portspiegelung durchführen.
Joeqwerty
Eine nicht so gute Alternative zur Portspiegelung könnte darin bestehen, ein [Linux-basiertes] System mit mindestens 2 Netzwerkports in eine Bridge zu verwandeln und den Datenverkehr über die Bridge zu überwachen.
Davidgo
@davidgo Ja, ich habe darüber nachgedacht, so etwas mit meinem Raspberry Pi zu machen, aber als ich darüber nachdachte, wie ich es anstellen sollte (und all die Teile, die ich anhalten und lernen musste), drehte es sich schnell weg von "schnell und" einfach". Der Hub / Switch mit Port Mirroring-Ansatz scheint viel besser zu sein.
Allen
8

Ich verwende einen alten Hub auch zur Fehlerbehebung im Netzwerk. Sie sind heutzutage schwer zu bekommen. Es scheint einige bei Amazon zu geben, und Sie können einige auch bei ebay finden. Lesen Sie die technischen Daten sorgfältig durch, um sicherzustellen, dass Sie im Gegensatz zu einem Switch tatsächlich einen Hub erhalten.

http://www.amazon.com/s/ref=sr_nr_n_2?rh=n%3A281413%2Ck%3Anetwork+hub&keywords=network+hub&ie=UTF8&qid=1396311331&rnid=2941120011

Ein Punkt der Klarstellung: Ein Hub verbindet nicht broadcastalle Ports mit Ethernet-Frames (außer Broadcast-Verkehr). Ein Hub- floodsEthernet-Frames zu allen Ports. Es gibt einen deutlichen Unterschied zwischen einem Unicast-Frame, der für einen einzelnen Host vorgesehen ist, der an alle Ports übertragen wird, und einem broadcastFrame, der für alle Hosts bestimmt ist, die broadcastedan alle Ports gesendet werden.

Es gibt auch zwei Arten von Sendungen:

  1. Layer 2-Broadcasts, die für alle Hosts im selben physischen Segment bestimmt sind.

  2. Layer 3-Broadcasts, die für alle Hosts im selben Layer 3-Netzwerk (Netzwerk / Subnetz) bestimmt sind.

Abschließend sei angemerkt, dass sich Multicast-Verkehr häufig wie Broadcast-Verkehr verhält, da er an alle Ports und Hosts übertragen wird, die an diesem Verkehr interessiert sind. Er kann ihn akzeptieren und diejenigen, die nicht interessiert sind, verwerfen ihn.

Joeqwerty
quelle
Diese Antwort erschwert das Problem unnötig, indem sie Unterscheidungen (Flood vs. Broadcast, Layer 3 vs. Layer 2 Broadcasts) aufwirft, die für diese Diskussion bedeutungslos sind.
Spiff
2
Ich habe den Inhalt meiner Antwort nicht für unnötig gehalten. Das OP erwähnte die packet broadcast characteristicHubs und ich sah die Notwendigkeit, den Unterschied zwischen Rundfunk und Überschwemmung zu klären. Ich würde nicht denken, dass eine Antwort, die zusätzliche Informationen und Klarstellungen liefert, dafür abgelehnt wird, aber es ist, was es ist.
Joeqwerty
1
Darüber hinaus können die Unterscheidungen, die ich in meiner Antwort erwähne, dem OP helfen, das Problem zu identifizieren, das er behebt, indem es den Unterschied zwischen Rundfunk, Flooding und Multicasting sowie die Unterscheidung zwischen einer Schicht 2- und einer Schicht 3-Sendung versteht. Auf jeden Fall habe ich kein Problem mit der Abwahl, ich wollte nur meine Motivation erklären, die Antwort zu geben, die ich gegeben habe.
Joeqwerty
@ Joeqwerty Ich bin auf dieser Seite mit dir. Wenn Sie zwischen den Zeilen lesen, scheint das Poster dieser Frage eine zusätzliche Ausbildung in diesem Thema zu erfordern.
Tonny
5

Erstens erlaubt Gigabit Ethernet keine Hubs. Als das IEEE GigE zum ersten Mal definierte, hatten sie kurz eine Spezifikation, wie ein GigE-Hub funktionieren sollte, aber niemand hat jemals eines ausgeliefert, und das IEEE verwarf die Spezifikation schnell und empfahl, GigE immer zu wechseln. (Wissenswertes: Dies bedeutet, dass GigE technisch gesehen kein CSMA / CD ist.)

Sie können immer noch 100BASE-TX-Hubs kaufen, wenn Sie wissen, wo Sie suchen müssen, insbesondere sogenannte " Dual-Speed-Hubs ". Ein 10/100-Dual-Speed-Hub ist praktisch eine Kombination aus einem 10BASE-T-Hub und einem 100BASE-TX-Hub in derselben Box mit einem 2-Port-Bridge-Chip (Switch) zwischen den beiden Hubs. Wenn ein 100BASE-TX-Gerät an einen Port angeschlossen ist, wird dieser Port mit dem 100BASE-TX-Hub verbunden. Wenn ein 10BASE-T-Gerät an einen Port angeschlossen ist, wird dieser Port mit dem 10BASE-T-Hub verbunden. So können alle 100BASE-TX-Geräte den Unicast-Verkehr der anderen abhören, und alle 10BASE-T-Geräte können den Unicast-Verkehr der anderen abhören. Die 100BASE-TX-Geräte können jedoch den Unicast-Verkehr der 10BASE-T-Geräte nicht überwachen (oder umgekehrt), da dazwischen eine Brücke liegt.

Da Sie wahrscheinlich kein 10BASE-T-Gerät mehr haben, ist ein Dual-Speed-Hub für Ihre Zwecke genau das gleiche wie ein reiner 100BASE-TX-Hub.

Und natürlich können Sie, wie andere bereits betont haben, mit verwaltbaren Switches häufig die "Port-Spiegelung" einrichten, die in einigen Produkten auch als "Port-Spanning" oder "Sniffer-Port" bezeichnet wird, um sicherzustellen, dass ein Port angezeigt wird Der gesamte Datenverkehr zu / von einem anderen Port auf dem Switch, um Sniffer und andere Tools zur Verkehrsüberwachung zu unterstützen.

Spiff
quelle
Eigentlich habe ich mehrere alte HPLNAs, die nur 10 MB groß sind. (Ich habe vielleicht gerade meine Unwissenheit über das Netzwerk aufgedeckt; ich weiß nicht, ob das mit 10BASE-T identisch ist)
Allen
@Allen 10 Megabit pro Sekunde Ethernet über Kupferkabel (alle typischen "Ethernet-Kabel") ist 10BASE-T.
Spiff