Цитата:
Т. е. аппаратное решение.
|
Я же говорю, если шлюз програмный, на Unix, то возможно установить клиента отдающего информацию о пакетах ходящих через шлюз.
Для фиксирования ВСЕХ пакетов, или тем паче, Ethernet фреймов в сети используется след. технология.
1) При использовании разделяемой среды (то бишь повторителя/reapeter, в обиходе его по неграмотности именуют хабом/hub), нужно прицепить станцию у которой сетевая карта работает в режиме прослушивания (Promiscuous mode) + работает софт которой пишет и/анализирует трафик.
2) В коммутируемой среде вариант 1 невозможен.
Производители коммутаторов исхитрились вот как, обычно на управляемых (интеллектуальных) коммутаторах, возможен перевод любого порта коммутатора в режим прослушивания, т.е. на избранном порту дублируется весь трафик (имитация разделяемой среды). Соответственно к данному порту подключается станция прослушивания.
Главным недостатком этих метод является то, что обыкновенная станция не успевает анализировать трафик высоконагруженных мультигигабитных коммутаторах (На 100 мб - достаточно легко), однако мощные коммутаторы обычно сами могут отдавать информацию о трафике в одном из стандартных протоколов, скажем том же NetFlow.
Цитата:
- чужак в локалке (MAC) - тревога
|
Я к сожалению не решал такие задачи програмными способами.
Обычно в крупных сетях процесс выглядит по другому.
В зависимости от MAC адреса, коммутатор автоматически переводит станцию в один из VLAN.
Если MAC не описан в базе коммутатора, то или порт отключается вообще, или переводится в VLAN-песочницу "иде его уже поджидали люди с добрыми лицами, медленно сжимая кольцо"