Sep 21, 2017, 11:36 am

News:

Ufasoft Coin 0.110 new features: SOCKS5, TOR,
bootstrap.dat DB format


Sniff через switch

Started by Basis, Aug 24, 2011, 11:23 am

previous topic - next topic
Go Down

Basis

Aug 24, 2011, 11:23 am Last Edit: Jan 01, 1970, 01:00 am by Guest
Как я понял, изучая форумы, многие пользователи сталкиваются с тем, что при наличии коммутаторой в сети, а не хабов, без ARP-spoofing удаётся перехватывать только пакеты, имеющие непосредственное отношение к машине, на которой установлена программа. Спуфинг же, фактически, убивает сеть в реалиях современных средств защиты.
Однако, все серьёзные свитчи являются управляемыми, и в них может быть включена функция Port Mapping, которая отобразит пакеты с выбранных портов на другой выбранный порт.
В моём случае это позволило решить задачу перехвата без использования ARP-spoofing, отобразив порты, к которым подключены интересующие компы, на порт со сниффером.
Вопрос в том, на сколько данное решение сильно ударяет по производительности сети?

ufasoft

#1
Aug 24, 2011, 05:00 pm Last Edit: Jan 01, 1970, 01:00 am by Guest
Это называется Mirroring-port
Бывают 100Mbit свичи у которых пара портов 1GBit
один из них можно сделать Mirroring,  и подключить сниффер к нему.
В таком случае наверное весь трафик попадет в этот порт.


Если миррорить GBit-порты на GBit, то етественно пакеты будут пропадать.
На производительности самой сети наверное отражаться не должно

Go Up