马上注册成为ROSABC会员,随时发帖回复。
您需要 登录 才可以下载或查看,没有账号?会员注册
x
端口镜像简介端口镜像 (Port Mirroring) 功能可以让指定IP或协议的流量复制并转发到某一特定的IP(一般是监控机器),对于网吧而言,由于公安监控的需要,端口镜像功能通常是必须的。 端口镜像一般通过带端口镜像的交换机来实现,但这种交换机价格比较贵,故有些小型网吧,在路由和局域网之间串接了一个集线器(HUB)来解决这个问题,然而,这对网络性能造成了很大影响,尤其是当内网数据流量较大时,因为HUB的速率只有10Mbit,这无疑成了网络设备中的瓶颈。 针对此问题,海蜘蛛实现了利用路由来做端口镜像,这样做有以下几个优点: - 节省购买镜像端口交换机的成本
- 不改变现有网络结构,对网络性能没有影响
- 比硬件方式实现流量复制更为灵活,效率更高
| 注释 | 硬件方式是指对经过端口的所有类型的流量都进行复制监控,而一般在网吧需要监控的主要是浏览网页,浏览网页所产生的流量只占很小一部分,网吧内大部分流量是由在线电影、玩游戏、视频聊天、P2P下载等产生的,而这一部分通常不需要监控,也无法监控到有用数据。
|
在路由上,可以设定特定协议、特定端口的流量复制到监控机上,这样端口镜像的效率大大提高,对路由网卡的负荷也大大减少。
设置步骤
浏览网页使用的是 TCP/HTTP 协议,端口为80,假设监控机的IP地址为 192.168.0.2,进入路由主界面->“防火墙”->“端口镜像”,设置如下: 新增规则1:对内网发出去的数据进行监控,源IP不填表示监控内网所有IP
新增规则2:对外网进来的数据进行监控
最后,启用端口镜像即可
如果要监控所有内外网端口则源和目的端口号都不填;如果要监控所有协议,协议类型选“TCP+UDP”即可。 下一步就可以在监控机上面打开抓包软件或分析工具对监听到的流量进行分析了。 下面是用 wireshark 抓取到数据包截图:
为了减少局域网网卡的压力,可以在路由上增加一块网卡,专门用于转发监控的数据。增加网卡后,将这块网卡配置为私有IP地址(不能和局域网网卡IP在同一网段)。比如新增网卡的IP设为192.168.10.1,监控机的IP为 192.168.10.254,然后修改上面的设置,将管理IP从192.168.0.2改为192.168.10.254即可。
| 
发表于 2013-4-24 12:13:49
