Neues Netzwerkanalyse-System

[kenduron]

Hallo,

ich möchte mir einen kleinen Linux-PC zusammenbauen, welcher den Netzwerkverkehr von Betriebssystemen untersucht.

Um auch wirklich jeden Ethernet-Frame zu erhalten, muss das System 2 Netzwerkkarten erhalten und wird als Ethernet-Brücke fungieren. Natürlich tut es da jedes ATX-Mainboard in einem Desktopgehäuse, keine Frage, ich such aber hierfür eine kompakte Lösung in einem kleinen Gehäuse, keinen Tower. Soll ein x86-PC sein, auf denen ich auch mal ein bisschen was arbeiten bzw. programmieren kann.

Kennt ihr da ein Gehäuse bzw. Komponenten im erforderlichen Formfaktor?

 

[Lawnmower]

Sowas z.B. https://www.computerbase.de/2015-11...ebone-fuer-skylake-mit-ddr3l-kostet-244-euro/

 

[Nightfly09]

was willst du denn da untersuchen?
windows bietet da doch schon recht brauchbare möglichkeiten (netstat -?) und die möglichkeit einer vm wäre je nach ansprüchen vielleicht auch noch eine überlegung wert.

 

[jumpin]

Der von Lawnmower gepostete News-Beitrag kam mir auch zuerst in den Sinn.
Solche Barebones gibts aber auch sonst ... -> Geizhals

Zum selber Basteln gibts sonst auch günstige ITX-Boards mit zwei Netzwerkanschlüssen:
mit CPU, für Sockel 1151 oder für Sockel 1150, dazu passende Gehäuse gibts auch recht viele.

Soweit ich weiss, gibts aber auch Switches/Router, die einen speziellen "Überwachungsport" haben (bzw. so einen Konfigurieren lassen), an diesen werden dann alle Netzwerkpakete zusätzlich zum richtigen Empfänger auch noch geschickt.

Gruss - jumpin

 

[Masamune2]

Was willst du damit denn tun was ein lokales Wireshark nicht sehen würde?

 

[Piktogramm]

Es braucht nicht mal zwei Netzwerkports. Ein Port reicht, der Traffic muss nur umgeleitet werden. Entsprechend kann die Aufgabe selbst ein RaspberryPi (bei schreiben des Logs ist der 1er Pi lahm und wenn man übertreibt schreibt man auch mal ne sd-Karte tot). Bei einer sauberen Trennung mit zwei Ports reicht dann jede Netzwerkerweiterung per PCI, PCIe oder USB um eine zweiten Netzwerkzugang zu realisieren.

 

[Masamune2]

Für einen richtigen Netzwerkanalyzer braucht man zwei Netzwerkports damit 1Gig eingehen und ausgehend gleichzeitig mitgeschnitten werden können.

 

[Piktogramm]

"richtig" ist immer so eine Sache. Wie hier schon erwähnt wurde sollte eine lokale Instanz von Wireshark reichen. Auch die Variante über einen einfach Netzwerkanschluss taugt und die Lösungen mit zwei Anschlüssen bringen da nahezu keinen Mehrwert. Ginge es darum herauszufinden ob irgend ein böses Programm Traffic erzeugt lässt sich so oder so tarnen und Verschlüsseln.

 

[kenduron]

Eure Meinung hierzu nehme ich dankend an, es geht um ein Projekt bei uns, welche Hardware ich für eine schlanke Lösung verbauen kann.
In diesem Thema möchte ich auf mögliche Hardware aus, ohne einen großen Kasten bei mir stehen zu haben.

Und nein, Wireshark reicht nicht!