Re: Software zur Traffic-Auswertung

To: debian-user-german@lists.debian.org
Subject: Re: Software zur Traffic-Auswertung
From: Christoph Haas <haas@debian.org>
Date: Sat, 12 Nov 2005 22:43:09 +0100
Message-id: <[🔎] 200511122243.09202.haas@debian.org>
In-reply-to: <[🔎] 1131830806.3535.10.camel@neptune>
References: <[🔎] 1131648395.3468.9.camel@neptune> <[🔎] 43739A2D.7050308@sprayen.de> <[🔎] 1131830806.3535.10.camel@neptune>

On Saturday 12 November 2005 22:26, Andreas Brillisauer wrote:
> danke für die Vorschläge. Ich werde ein paar der Tools in die engere
> Auswahl nehmen und diese dann testen.
>
> Allerdings habe ich noch ein Verständnisproblem. Ich möchte an den
> Router eine Switch hängen und per Port Mirroring so den anfallenden
> Traffic an das Interface eines PCs weiterleiten. Dort soll dann das Tool
> zum Traffic-Accounting laufen. Am Router hängt eine
> 1-GBit-Full-Duplex-Leitung. Mal angenommen am Router entstehen zu einem
> Zeitpunkt 700 MBit incoming und 700 MBit outgoing Traffic. Sind in der
> Summe dann 1,4 GBit. Somit habe ich also gar keine Chance den kompletten
> Traffic über die 1-GBit-Netzwerkkarte zu erfassen. Ist der Gedanke
> richtig? Falls ja, wie kann ich den kompletten Traffic (in und out)
> einer 1-GBit-Full-Duplex-Leitung zuverlässig erfassen?

Damit bist du schon stark an der Grenze von teuren Lösungen. Sollte der 
Switch wirklich in der Lage sein, den gesamten Traffic zu spiegeln (ich 
kenne keinen Switch/Router, der nicht bei höheren Durchsätzen willkürlich 
anfängt, Pakete zu verwerfen), gibt es dedizierte Hardware, die solche 
Daten z.B. an mehrere IDS-Sensoren weiterleitet. Das sind dann kombinierte 
Switches/Loadbalancer. Billig ist das Zeug aber leider nicht. Leider kann 
ich hier nicht mit Hardware-Erfahrungen aufwarten - wir haben unser IDS 
lieber etwas heterogener gestaltet, um mit dem erheblichen Datenaufkommen 
klarzukommen.

Aber vielleicht hilft dir eine Suche bei Herstellern von Hardware für 
IDS-Systeme irgendwie weiter.

Unter http://www.snort.org/docs/ (Snort Deployment) findest du auch 
Anleitungen, wie man solche Datenmengen an ein IDS schickt und welche 
Probleme es dabei gibt. Die Lösungen dort drehen sich m.W. auch um 
Load-Balancer.

Wenn es nur um die Traffic-Informationen geht und du gar nicht jedes Paket 
am Spiegelport sehen willst, kannst du evtl. auch "Flows" auswerten. 
Cisco-Router z.B. schicken diese Daten dann gebündelt an einen 
Auswerte-Server. Auch dafür gibt es in Debian entsprechende Pakete.

Gruß,
 Christoph

P.S.: Ich habe den Thread nicht komplett verfolgt. Hoffentlich ist dies
      nicht zu weit weg vom Thema. :)

Reply to:

Follow-Ups:
- Re: Software zur Traffic-Auswertung
  - From: Michelle Konzack <linux4michelle@freenet.de>

References:
- Software zur Traffic-Auswertung
  - From: Andreas Brillisauer <debian@ab-online.net>
- Re: Software zur Traffic-Auswertung
  - From: Claus Malter <debian@sprayen.de>
- Re: Software zur Traffic-Auswertung
  - From: Andreas Brillisauer <debian@ab-online.net>

Prev by Date: Re: Software zur Traffic-Auswertung
Next by Date: Re: [fast OT] INet Kinderschutz unter Linux
Previous by thread: Re: Software zur Traffic-Auswertung
Next by thread: Re: Software zur Traffic-Auswertung
Index(es):
- Date
- Thread