Mitschnitt von Netzwerkverkehr

10/02/2011 - 12:05 von Peter Blancke | Report spam
Guten Tag,

ich musz zu Analysezwecken Netzwerkverkehr auf einer Ethernetleitung
mitschneiden (rechtliche Fragen sind dabei alle sauber und
vollstaendig geklaert; Danke jetzt schon fuer alle Hinweise hierzu,
die aber nicht erforderlich sind) und sehe dabei zwei
Moeglichkeiten:

1. Ich setze einen alten Hub ein, den ich in die Verbindung
einschleife und an welchem ich zusaetzlich den Protokollrechner
anschliesze und an dessen Netzwerkkarte alles per tshark
mitschneide.

Meine Ueberlegung: Hier koennten mir Datenpakete verloren gehen,
weil der Rechner nicht schnell genug mitschneidet, weil der Hub
nicht schnell genug ausliefert etc. Es gibt ja keine
Wiederholungen im Falle des Datenverlustes wie bei einer
ordentlich aufgebauten TCP-/IP-Verbindung.

2. Ich setze einen Rechner mit zwei Netzwerkkarten ein und lasse da
den Netzwerkverkehr durchgehen und mitschneiden. Meine
Ueberlegung ist, dasz die Nachteile aus 1. wegfallen.

Mir fehlt fuer diese zweite Loesung noch der korrekte Begriff,
ich meine, der mueszte "Bridge" lauten. Oder wie wird so etwas
bezeichnet, realisiert?

Moeglichkeit 1 waere schneller zu realisieren. Wie wird so etwas in
der Praxis gemacht?

Grusz,

Peter Blancke

Hoc est enim verbum meum!
 

Lesen sie die antworten

#1 Paul Muster
10/02/2011 - 12:23 | Warnen spam
Peter Blancke wrote:

ich musz zu Analysezwecken Netzwerkverkehr auf einer Ethernetleitung
mitschneiden

1. Ich setze einen alten Hub ein,

Meine Ueberlegung: Hier koennten mir Datenpakete verloren gehen,
weil der Rechner nicht schnell genug mitschneidet, weil der Hub
nicht schnell genug ausliefert etc. Es gibt ja keine
Wiederholungen im Falle des Datenverlustes wie bei einer
ordentlich aufgebauten TCP-/IP-Verbindung.



Nö, sollte kein Problem sein. Der schnellste Hub, den du finden wirst,
macht 100MBit/s. Das kann man heutzutage locker auf Platte wegschreiben.
Und zu langsam ausliefern geht konzeptionell nicht, sondern würde auf
dem darunter liegenden Layer eine Kollision auslösen.

2. Ich setze einen Rechner mit zwei Netzwerkkarten ein und lasse da
den Netzwerkverkehr durchgehen und mitschneiden. Meine
Ueberlegung ist, dasz die Nachteile aus 1. wegfallen.

Mir fehlt fuer diese zweite Loesung noch der korrekte Begriff,
ich meine, der mueszte "Bridge" lauten. Oder wie wird so etwas
bezeichnet, realisiert?



Bridge ist korrekt.

Moeglichkeit 1 waere schneller zu realisieren.



Mach das doch mal und schau, welche Ergebnisse du bekommst.

Wie wird so etwas in
der Praxis gemacht?



Möglichkeit 3, die man heute nutzt, ist, am Switch einen Mirrorport
einzurichten.


mfG Paul

Ähnliche fragen