Port Mirror是側錄封包,並且往其中一埠或一個目的端傳送錄下的封包,這些封包會用於分析,多半目的是用於流量分析或惡意檢測。
Port Mirror要具備兩個:
- 可以側錄封包的設備,通常為Switch其自身功能。
- 可以接收封包的設備。
在Switch,大廠牌通常都具有Mirror的功能。我個人用的也買了一台 NETGEAR GS305E,看中其有網管功能,終於有機會用到這項功能。
接收設備是用Windows 10 + Wireshark,網卡接在Port 3,執行Wireshark後,可以看到Port2的封包。建議把接收Mirror網卡的IPv4跟IPv6給取消掉,這樣錄起來會比較乾淨。
基於資安,就不秀出成功圖片。
使用Port Mirror是一個很好的實戰教學,前提是先具有多半的IP跟Protocol知識,否則會一頭霧水而卡住。
在TroubleShooting時,對於一個熟悉網路的人,OSI的一到四層是很容易看出來的,狀況明顯,判斷也很明確。不過在更高層的地方出了問題,像是應用層出現了狀況,要是思考範圍只陷於低層級,就會覺得莫名其妙。
下了指令,卻沒有作用。確認一到四層沒問題之後,那麼指令是真的執行嗎?還是執行失敗呢?這是很耐人尋味的了。