Coś w mojej sieci Ethernet LAN czasami wysyła fałszywe duplikaty pakietów i muszę to wyśledzić. Winowajcą jest prawdopodobnie przełącznik lub inny most (taki jak Wi-Fi AP), a nie punkt końcowy, ponieważ duplikowane pakiety nie zawsze pochodzą z tego samego źródłowego adresu MAC.
Zastanawiam się nad uzyskaniem przełącznika, który obsługuje dublowanie portów, i używania go z snifferem do sniffowania ruchu wchodzącego i wychodzącego z portu, ale muszę wiedzieć, w którym kierunku wysłano każdy przechwycony pakiet, więc mogę określić, w którym kierunku oryginał i duplikat pochodziły. Jeśli znajdę miejsce w mojej sieci, w którym oryginał i duplikat pochodzą z różnych kierunków, będę wiedział, że winowajcą musi być strona, z której pochodzi duplikat.
Mój problem polega na tym, że przełączniki dublowania portów, z którymi pracowałem w przeszłości, pozwoliły mi tylko na dublowanie „obu kierunków” (zarówno nadawania, jak i odbierania) z danego portu do portu dublowania.
Czy ktoś może zaproponować rozwiązanie, które pozwoliłoby mi odwzorować tylko jeden kierunek? Zastanawiam się nad podłączeniem dwóch snifferów, jednego dla kierunku „Tx” i jednego dla kierunku „Rx”, więc mogę powiedzieć, w którą stronę idą pakiety. Nie mam nic przeciwko zakupowi nowego zarządzalnego przełącznika lub dotknięcia, aby to osiągnąć.
Jestem otwarty na wszelkie inne pomysły na śledzenie źródła fałszywego duplikowania pakietów, ale uważaj, że moje obecne przełączniki w tej sieci nie są strasznie łatwe w zarządzaniu, więc rozwiązania, które zakładają przełączniki zarządzalne (np. „Włącz takie i takie śledzenie pakietów” ”lub„ ściągnij statystyki ze wszystkich przełączników za pośrednictwem SNMP i przełamuj dane w <app> ”), prawdopodobnie nie będą praktyczne w mojej sytuacji.
źródło