none
анализ трафика в локальной сети RRS feed

  • Вопрос

  • Всем добрый день. Есть сервак 2008r2 на виртуалке hyper-v, где помимо AD подняты роли dns и роутинг. Он является шлюзом по умолчанию для всех клиентов и днс-сервером. Соответственно все пакеты за пределы внутр сети (класса С) проходят через него. Есть еще отдельный сервак под kaspersky security center, где аудит, графики красивые и т.д. Но время от времени, когда нужно найти вредителя приходиться вручную "снифать" трафик, причем различными средствами. Вопрос - как "заснифать" трафик который проходит через данный сервак(gateway)? Устанавливать DLP, прочие сниферы на него не хочу - все в одной корзине не есть хорошо.

    Возникла идея (не знаю насколько бредовая :) ) вместо обрезанного hyper-v поставить сервак на полноценную 200r2 standart с ролью hyper-v и уже на нее как на хост машину все это добро поустанавливать? Но с др стороны хост-машина и виртуалка будут в одной сети. Будет ли снифер на адаптере хост-машины ловить пакеты предназначенные виртуалке?

    11 декабря 2013 г. 13:21

Ответы

  • В Hyper-V 2012 есть возможность зеркалирования трафика. В свойствах сетевого адаптера виртуальной машины (именно в оснастке Hyper-V) в Advanced Features найдёте Mirroring Mode... Source - та, откуда нужен трафик, Destination - куда будет зеркалироваться. Уже на зеркале ставьте сниффер.

    Active Directory? Ask me how.

    11 декабря 2013 г. 13:49

Все ответы

  • В Hyper-V 2012 есть возможность зеркалирования трафика. В свойствах сетевого адаптера виртуальной машины (именно в оснастке Hyper-V) в Advanced Features найдёте Mirroring Mode... Source - та, откуда нужен трафик, Destination - куда будет зеркалироваться. Уже на зеркале ставьте сниффер.

    Active Directory? Ask me how.

    11 декабря 2013 г. 13:49
  • Спасибо. Надеюсь Hyper-V 2012 встанет на то железо, где был 2008r2.
    11 декабря 2013 г. 14:18