On Saturday 12 November 2005 22:26, Andreas Brillisauer wrote: > danke für die Vorschläge. Ich werde ein paar der Tools in die engere > Auswahl nehmen und diese dann testen. > > Allerdings habe ich noch ein Verständnisproblem. Ich möchte an den > Router eine Switch hängen und per Port Mirroring so den anfallenden > Traffic an das Interface eines PCs weiterleiten. Dort soll dann das Tool > zum Traffic-Accounting laufen. Am Router hängt eine > 1-GBit-Full-Duplex-Leitung. Mal angenommen am Router entstehen zu einem > Zeitpunkt 700 MBit incoming und 700 MBit outgoing Traffic. Sind in der > Summe dann 1,4 GBit. Somit habe ich also gar keine Chance den kompletten > Traffic über die 1-GBit-Netzwerkkarte zu erfassen. Ist der Gedanke > richtig? Falls ja, wie kann ich den kompletten Traffic (in und out) > einer 1-GBit-Full-Duplex-Leitung zuverlässig erfassen?
Damit bist du schon stark an der Grenze von teuren Lösungen. Sollte der Switch wirklich in der Lage sein, den gesamten Traffic zu spiegeln (ich kenne keinen Switch/Router, der nicht bei höheren Durchsätzen willkürlich anfängt, Pakete zu verwerfen), gibt es dedizierte Hardware, die solche Daten z.B. an mehrere IDS-Sensoren weiterleitet. Das sind dann kombinierte Switches/Loadbalancer. Billig ist das Zeug aber leider nicht. Leider kann ich hier nicht mit Hardware-Erfahrungen aufwarten - wir haben unser IDS lieber etwas heterogener gestaltet, um mit dem erheblichen Datenaufkommen klarzukommen. Aber vielleicht hilft dir eine Suche bei Herstellern von Hardware für IDS-Systeme irgendwie weiter. Unter http://www.snort.org/docs/ (Snort Deployment) findest du auch Anleitungen, wie man solche Datenmengen an ein IDS schickt und welche Probleme es dabei gibt. Die Lösungen dort drehen sich m.W. auch um Load-Balancer. Wenn es nur um die Traffic-Informationen geht und du gar nicht jedes Paket am Spiegelport sehen willst, kannst du evtl. auch "Flows" auswerten. Cisco-Router z.B. schicken diese Daten dann gebündelt an einen Auswerte-Server. Auch dafür gibt es in Debian entsprechende Pakete. Gruß, Christoph P.S.: Ich habe den Thread nicht komplett verfolgt. Hoffentlich ist dies nicht zu weit weg vom Thema. :)
