Port Monitor (Port Mirroring)
Damian Stelmach
Port mirroring (w przypadku urządzeń CISCO Port Monitor) jest funkcją, która pozwala na kopiowanie danych z danego, konkretnego portu lub grupy portów na inny. Chodzi o to, że dane, które transmitowane są np. z i do portu 1 mogą być kopiowane na np. port 7. Funkcja te może być wykorzystywana w celach diagnostycznych, np. jeśli chcemy analizować ruch sieciowych maszyn w naszej sieci. Wówczas wszystkie dane z portu źródłowego trafiają do naszego komputera dzięki temu możemy je analizować (wykorzystując np. program Wireshark) i szukać przyczyn błędnego działania usług sieciowych.
Medal ma oczywiście dwie strony no i port mirroring może również zostać wykorzystany w celach, nazwijmy to mniej przyjaznych. Hacker, który skonfiguruje kopiowanie danych na port, do którego podłączony jest jego komputer będzie miał dostęp do informacji, z jakich korzysta usług sieciowych i na jakie strony WWW wchodzi użytkownik. To w jakim celu zostanie taka funkcja użyta no to już zależy od osób, które z niej korzystają.
Zakładając, że chcemy aby do naszego komputera (podłączonego do portu 10 przełącznika), na którym zainstalowane mamy oprogramowanie do analizy ruchu sieciowego trafiały dane z komputerów podłączonych do portów 1 i 2, polecenia konfiguracyjne wyglądają następująco:
- s1> enable
- s1# conf t
- s1(config)# monitor session 1 source interface fastEthernet 0/1
- s1(config)# monitor session 1 source interface fastEthernet 0/2
- s1(config)# monitor session 1 destination interface fastEthernet 0/10
Od teraz wszystkie dane, zarówno wychodzące, jak i przychodzące z portów 1 i 2, kopiowane będą na port 10. Jeśli wolelibyśmy aby kopiowane do naszego komputera były dane tylko wychodzące, albo tylko przychodzące z portów 1 i 2 możemy użyć do tego parametrów rx (dane odebrane) oraz tx (dane wysłane). Zakładając, że chcemy aby na nasz komputer kopiowane były dane tylko wychodzące z portu pierwszego i tylko przychodzące na port 2 wydamy następujące polecenia:
- s1> enable
- s1# conf t
- s1(config)# monitor session 1 source interface fastEthernet 0/1 tx
- s1(config)# monitor session 1 source interface fastEthernet 0/2 rx
- s1(config)# monitor session 1 destination interface fastEthernet 0/10
W przypadku kiedy komputery, z których dane chcemy otrzymywać pracują w jednej sieci VLAN, ale podłączone są do różnych przełączników, tak jak na grafice:
zamiast konkretnego interfejsu możemy podać identyfikator sieci VLAN. Wówczas polecenia realizujące taką funkcjonalność będą wyglądać następująco:
- s1> enable
- s1# conf t
- s1(config)# monitor session 1 source vlan 10
- s1(config)# monitor session 1 destination interface fastEthernet 0/1
Polecamy: Mega Sekurak Hacking Party
Kolejna edycja największej imprezy hakerskiej w Polsce, czyli Mega Sekurak Hacking Party odbędzie się już 20 maja 2024r. Z tej okazji mamy dla Was kod: pasjamshp - wpiszcie go w koszyku, dzięki czemu otrzymacie 40% zniżki na bilet standard. Więcej szczegółów znajdziecie tutaj.
Książka: Wprowadzenie do bezpieczeństwa IT
Niedawno wystartował dodruk świetnej, rozchwytywanej książki pt. "Wprowadzenie do bezpieczeństwa IT, Tom I" (około 940 stron). Mamy dla Was kod: pasja (wpisz go w koszyku), dzięki któremu otrzymacie 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla naszych Widzów! Jest to pierwszy tom serii o ITsec, który wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!
Pomóż dzieciom
Polska Akcja Humanitarna od wielu lat dożywia dzieci. Prosimy, poświęć teraz dosłownie chwilę i pomóż klikając w oznaczony strzałką zielony brzuszek Pajacyka. Dziękujemy!
Komentarze
Czy macie jakieś pytania, sugestie, uwagi? A może zauważyliście literówkę albo błąd? Dajcie koniecznie znać: kontakt@pasja-informatyki.pl. Dziękujemy za poświęcony czas - to dzięki Wam serwis staje się coraz lepszy!