Remote-Sniffing mit ERSPAN auf den Desktop


8

Ich kann sowohl SPAN als auch RSPAN verwenden. Wenn ich mich nicht irre, führt uns ERSPAN zu der Möglichkeit, einen Router über ein IP-Netzwerk und einen GRE-Tunnel fernüberwachen zu können. Es wird jedoch ein Tunnelendpunkt benötigt.

Meine Frage ist, ist es möglich, dass der Tunnelendpunkt ein Desktop-Computer ist, um den gespiegelten Datenverkehr zu empfangen? Ich suche hauptsächlich nach einer OpenSource / Freware-Lösung, da ich denke, dass eine proprietäre Lösung VMWare Vswitch oder Nexus1000V beinhalten würde.

Dynamips könnte eine Lösung sein, aber ich glaube nicht, dass Router ERSPAN unterstützen.

Ich kenne OpenVswitch , aber ERSPAN wird nicht unterstützt.

Antworten:


9

Es gibt verschiedene Optionen, je nachdem, wie viel Verkehr Sie erhalten:

  • Wenn Sie viel Verkehr erhalten, sollten Sie gulp verwenden , das unter Linux läuft. gulp benötigt das Kernelmodul linux pf_ring .
  • Wenn die Bandbreitenanforderungen angemessen sind, können Sie Ihren Laptop einfach mit dem ERSPAN-Decoder von wireshark verwenden . wireshark kann die Protokolle in ERSPAN v2- und v3-Paketen anzeigen . Verwenden ip proto 0x2fSie diesen Erfassungsfilter, wenn Sie nur ERSPAN-Verkehr erfassen möchten. Ich verwende den Wireshark, um ERSPAN von Catalyst6500-Benutzerports zu erfassen, wenn ich einen Port aus der Ferne abhören muss, ohne mit einem Laptop zum Switch zu gehen. Dies funktioniert gut für Benutzerports und sogar für einige Serverports (solange sie nicht viel Verkehr senden).

Beispiel Cat6500 ERSPAN-Konfiguration:

!
monitor session 2 type erspan-source
 source interface GigabitEthernet7/22
 destination
  erspan-id 1
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  ip address 10.1.1.5
  ! This is the IP address of the switch sourcing ERSPAN packets
  origin ip address 10.21.4.12
 no shutdown

Beispiel Nexus9000 ERSPAN-Konfiguration:

monitor session 1 type erspan-source
  erspan-id 1
  ! Specify the vrf that ERSPAN will use to route to the destination IP
  !  NOTE: I have not found a way to use "vrf management" on the 9000 series
  vrf default
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  destination ip 10.5.69.226
  source interface port-channel1001 both
  no shut

! This is the IP address of the switch sourcing ERSPAN packets
monitor erspan origin ip-address 172.16.12.80 global

Es besteht also im Wesentlichen keine Notwendigkeit, den GRE-Tunnel zu "schließen". Es geht nur darum, den empfangenen Verkehr zu "formatieren" ... nicht wahr?
Radtrentasei

1
@radicetrentasei ERSPAN verwendet einen unidirektionalen GRE-Tunnel und alles, was gulp tut, ist die Entkapselung des Datenverkehrs in einen virtuellen Linux-NIC-Treiber. Selbst wenn Sie Keepalives in einem typischen Cisco IOS GRE-Tunnel aktivieren, enthalten die Keepalive-Pakete ihre eigene Antwort, die über den gegenüberliegenden Tunnel zurück zur Keepalive-Quelle geleitet werden sollte.
Mike Pennington

Soweit ich weiß, ist der GRE-Tunnel zwischen Cisco und Linux keine gute Lösung, um Datenverkehr vom Internet zum Startpunkt "Cisco" zu erreichen
Ali Mezgani,

Was als "gute Lösung" gilt, hängt von Ihren Anforderungen ab. Für einige Anforderungen ist ERSPAN zu einem Linux-Sniffer eine gute Lösung
Mike Pennington
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.