假设我有一些标准的 dsl 路由器和一台电脑,它们通过路由器连接到互联网。还假设这两台电脑都受到了放置在这些机器的闪存中的 rootkit 的攻击。
我如何监控两台机器的网络流量(即我不想监控主机本身的网络流量)?我需要一些解决方案/基础设施,其中另一台设备只观察流量,而其他机器看不到。
答案1
托管以太网交换机通常包含端口镜像(有时称为端口跨接)功能,允许将往返于给定端口的所有流量镜像到另一个端口,以便您可以将数据包嗅探器连接到第二个端口并分析正在发生的一切。
我甚至见过具有此功能且价格相当便宜(<100 美元)的 5 端口和 8 端口管理型交换机。
如果您想监控 DSL 调制解调器上游的情况,事情会变得更加棘手。我想您需要购买自己的 DSLAM(即电话公司 DSL 线路末端的盒子)。