ComputerBase Menü
Aktuelles

Netzwerkleitung sniffen, Hardware/Softwarebedarf?

scooter010

scooter010

Commander Pro
🎂Rätsel-Elite ’16
Registriert
Sep. 2014
Beiträge
2.952
Moin Moin!

Ich beabsichtige zu instandsetzungszwecken eine Netzwerkleitung (Fast Ethernet) transparent zu sniffen.
Ich plane dafür den Einsatz von Wireshark auf einem Rechner mit einem Ethernetanschluss. Eine zusätzliche Netzwerkschnittstelle an diesem Rechner ist aus "nicht technichen" Gründen ausgeschlossen. Die Erstellung von Routen zur "Simulation" eines 2. Netzwerkanschlusses ist auch ausgeschlossen, da es in dem Netzwerk keinen zugänglichen Router gibt. ("Inselnetzwerk")

Meine Idee war nun, einen Lvl 3 Switch zu nehmen und so zu programmieren, dass er den kompletten Verkehr zwischen den 2 Geräten auch an einen 3. Port kopiert (wie in der Fritz.box) aber dabei auf IP-Ebene "unsichtbar" bleibt. Die Frge ist nun: Welcher Lvl3 Switch?
Eigentlich würde es also auch ein LVL 2 Hub tun, aber sowas gibt es ja nicht mehr. Außerdem bin ich mir nicht sicher, ob ich ein Windows oder Linux dazu bringen kann, an einem Netzwerkanschlus !ausschließlich! zu lauschen. Die Transparenz muss bis auf vielleicht 1-2ms erhöhte Latenz absolut vollkommen sein.

Vorgaben:
Rackmontage
Kein PoE oder SFP(+) erforderlich, bringt auch keinen Mehrwert
Hohe zu erwartende Lifetime

Gibt es eine andere Möglichkeit, den Netzwerkverkehr von einem Gerät zum nächsten zu sniffen?


MfG
 
Zuletzt bearbeitet:
Ein 2-to-1 Network TAP ist eigentlich genau das was du suchst.
Denn der ist wirklich Transparent.

Ueber einen Monitorport eines normalen L2 Switches geht das auch und, je nach Anforderung auch vollkommen ausreichend. 100% transparent ist der dann zwar nicht und da es hier scheinbar nicht darum geht mehrere Ports gleichzeitig zu Monitoren sondern das was auf einem Port raus geht/rein kommt an einen anderen zu leiten sollte es auch kein Problem bzgl. Last geben.

Bei den L2 Switches geht ansich jeder der eine entsprechende Funktion bietet.
 
  • Gefällt mir
Reaktionen: scooter010
scooter010 schrieb:
Ich beabsichtige zu instandsetzungszwecken eine Netzwerkleitung (Fast Ethernet) transparent zu sniffen.
Zum Vergrößern anklicken....

Mit einem TAP und nur einer NIC wäre der Rechner aber nicht mehr remote managebar. Aber in der Tat es wäre der richtige Ansatz.
scooter010 schrieb:
Eine zusätzliche Netzwerkschnittstelle an diesem Rechner ist aus "nicht technichen" Gründen ausgeschlossen. Die Erstellung von Routen zur "Simulation" eines 2. Netzwerkanschlusses ist auch ausgeschlossen, da es in dem Netzwerk keinen zugänglichen Router gibt. ("Inselnetzwerk")
Zum Vergrößern anklicken....

Ich habe mir kleine Rechner - ähnlich NUCs mit 1 TB SSD und und 2 NICs (ich weiß das sollst du nicht) zusammen gebaut 1 NIC zum Sniffen per TAP / Port Mirroring und 1 für Remote Management. Das versteifen auf 1 NIC ist erhlich gesagt dumm. Die schicke ich dann quer durch Europa und lasse sie von Technikern aufbauen, wenn andere Möglichkeiten nicht gegeben sind. Alternative zu so nem Rechner wären halt Portable Appliances von z.B. Niksun, Riverbed usw. Aber auch die haben min 2 Interfaces. 1x Mgmt und 1x Sniffer.
scooter010 schrieb:
Ich plane dafür den Einsatz von Wireshark auf einem Rechner mit einem Ethernetanschluss.
Zum Vergrößern anklicken....
Zu deinem eigentlichen Vorhaben. Ich verstehe nicht, wie ein Sniffer beim Wiederherstellen einer Verkabelung (= Instandsetzen Ethernet) helfen soll. Entweder es gibt einen Link oder keinen. Entweder es gibt CRC Errors auf Layer 1 oder nicht. Alles Sachen die man eigentlich in den Portcountern des gemanageten Switches perfekt sehen kann.

Cisco 3650 und 3850 können beispielsweise auch eine TDR Messung:
test cable-diagnostics tdr inter gi1/0/x


show cable-diagnostics tdr inter gi1/0/2
Interface Speed Local pair Pair length Remote pair Pair status
--------- ----- ---------- ------------------ ----------- --------------------
Gi1/0/2 1000M Pair A 15 +/- 10 meters N/A Normal
Pair B 0 +/- 5 meters N/A Short/Crosstalk
Pair C 17 +/- 10 meters N/A Normal
Pair D 13 +/- 10 meters N/A Normal

Grundsätzlich kommt es nicht selten vor, wenn viele Pakete auf einer Verbindung laufen, dass beim Port Mirroring Pakete nicht aufgezeichnet werden, weil der Switch es nicht packt diese auszuleiten (Packet per Second Grenze).

scooter010 schrieb:
Meine Idee war nun, einen Lvl 3 Switch zu nehmen und so zu programmieren, dass er den kompletten Verkehr zwischen den 2 Geräten auch an einen 3. Port kopiert (wie in der Fritz.box) aber dabei auf IP-Ebene "unsichtbar" bleibt. Die Frge ist nun: Welcher Lvl3 Switch?
Zum Vergrößern anklicken....
Kann auch ein managebarer L2 Switch.
scooter010 schrieb:
Eigentlich würde es also auch ein LVL 2 Hub tun, aber sowas gibt es ja nicht mehr.
Zum Vergrößern anklicken....
Gebraucht bei ebay besorgen, für private Zwecke habe ich das mal gemacht, darf meine beruflich genutzten TAPs ja nicht privat einsetzen.

scooter010 schrieb:
Außerdem bin ich mir nicht sicher, ob ich ein Windows oder Linux dazu bringen kann, an einem Netzwerkanschlus !ausschließlich! zu lauschen.
Zum Vergrößern anklicken....
Du kannst den Traffic reduzieren, in dem du der NIC kein IP vergibst (deshalb ja 2 Interfaces). Ein TAP sendet eh nur Pakete zum Sniffer, was dann im Prinzip genauso effektiv ist.
Das Management könntest du auch über eine WLAN Karte erledigen (also Notebook).


scooter010 schrieb:
Die Transparenz muss bis auf vielleicht 1-2ms erhöhte Latenz absolut vollkommen sein.
Zum Vergrößern anklicken....
TAPS und auch Port Mirroring haben keine Latenz auf den zu lauschenden Traffic und für das Ausleiten ist die Latenz auch absolut nachrangig gering.

scooter010 schrieb:
Gibt es eine andere Möglichkeit, den Netzwerkverkehr von einem Gerät zum nächsten zu sniffen?
Zum Vergrößern anklicken....
Bei Cisco:
RSPAN über mehrer L2 Komponenten
ER-SPAN Über mehrer L3 Komponenten (GRE-Tunnel).
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Robolon
@Titina Vielen Dank!

conf_t schrieb:
Das versteifen auf 1 NIC ist erhlich gesagt dumm.
Zum Vergrößern anklicken....
@conf_t Ich finde deine Aussagen nicht sehr nett und zu rund 50% am Thema vorbei, da ich von einem Inselnetzwerk gesprochen habe.
=> Rein internes Netz, keine Schnittstelle, nichtmal zu einem LAN. Alles an einem Ort. Keine Managementschnittstelle erforderlich, da jemand am Sniffer sitzt.

Dann werde ich mal schauen, was mit TAPs so geht :)
 
Ich habe jeden deiner umfassend Punkte beantwortet. Du hattest konkrete Fragen / Punkte (siehe meine Quotes) und ich habe alle konkret beantwortet bzw. kommentiert, dass dir ein Satz in einer der vielen Antworten nicht gefällt kann man auch einfach so stehen lassen. Ich habe weder dich oder sonst wen als "dumm" bezeichnet - das würde ich auch niemals anmaßen, sondern eine Verhaltensweise, das ist ein Unterschied. Deswegen den gesamten Post runterzuputzen ist aber fraglich.

Wenn du jetzt meinst 50% meiner Aussagen gingen am Thema vorbei, warum hast du deinen Post nicht auf den ersten Satz beschränkt - denn so wie sich dein 2. Post liest, wolltest du nicht mehr wissen? Nein du fragtest nach Alternativen, Geräten usw.

Klar kann man jemanden vor einen Sniffer setzen. Ist aber meist vergeudete Zeit, weil die Pakete eh im normalen Traffic schneller als human-readable durch rennen. Wenn du das so machen willst - dein Thema/Kosten.....

Zufälligerweise habe ich halt mit Sniffing viele Jahre Berufserfahrung und habe dir halt zu allen Punkten Infos weitergeben können.
 
  • Gefällt mir
Reaktionen: dideldei und Raijin
scooter010 schrieb:
Eine zusätzliche Netzwerkschnittstelle an diesem Rechner ist aus "nicht technichen" Gründen ausgeschlossen.
Zum Vergrößern anklicken....
Wenn du dich so unspezifisch ausdrückst, brauchst du dich aber über solche Kommentare wie von @conf_t nicht wirklich zu wundern. Was sind denn "nicht technische" Gründe?

Der Beitrag von @conf_t war sehr ausführlich und auch wenn man/du den Ausdruck "dumm" gerne in den falschen Hals bekommen kann, war der Rest doch sehr themen- bzw. beitragsbezogen. Ich kann daher nicht nachvollziehen warum du 50% des Beitrags als "am Thema vorbei" einstufst.

Wenn diese "nicht technischen" Gründe Hand und Fuß haben, dann wäre es auch hilfreich, wenn du diese Gründe darlegst, weil du ansonsten eben gerade Spekulationen und Bewertungen dieser Aussage überhaupt erst Raum gibst.
 
  • Gefällt mir
Reaktionen: conf_t
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz