Sniffing remoto con ERSPAN sul desktop

8

So usare sia SPAN che RSPAN. Se non sbaglio, ERSPAN ci porta alla possibilità di monitorare in remoto un router attraverso una rete IP e un tunnel GRE. Tuttavia è necessario un punto finale del tunnel.

La mia domanda è: è possibile che l'endpoint del tunnel sia un computer desktop per ricevere il traffico speculare? Sono principalmente alla ricerca di una soluzione OpenSource / Freware, poiché suppongo che una soluzione proprietaria implichi VMWare Vswitch o Nexus1000V.

Dynamips potrebbe essere una soluzione, ma non credo che nessun router supporti ERSPAN.

Conosco OpenVswitch , ma non supporta ERSPAN.

cisco  ethernet  monitoring  cisco-7600  mirror 
radtrentasei
fonte

Risposte:

9

Esistono un paio di opzioni, a seconda della quantità di traffico che riceverai:

  • Se stai per ricevere molto traffico, dovresti usare gulp , che gira su Linux; gulp richiede il modulo del kernel linux pf_ring .
  • Se i requisiti di larghezza di banda sono ragionevoli, puoi semplicemente usare il tuo laptop con il decodificatore ERSPAN di WireShark ; WireShark può vedere i protocolli all'interno dei pacchetti ERSPAN v2 e v3. Utilizzare ip proto 0x2fcome filtro di acquisizione se si desidera acquisire solo il traffico ERSPAN. Uso il WireShark per catturare ERSPAN dalle porte utente di Catalyst6500 quando ho bisogno di annusare da remoto una porta senza salire sullo switch con un laptop. Funziona bene per le porte degli utenti e anche per alcune porte del server (purché non stiano inviando tonnellate di traffico)

Esempio di configurazione ERSPAN Cat6500:

!
monitor session 2 type erspan-source
 source interface GigabitEthernet7/22
 destination
  erspan-id 1
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  ip address 10.1.1.5
  ! This is the IP address of the switch sourcing ERSPAN packets
  origin ip address 10.21.4.12
 no shutdown

Esempio di configurazione ERSPAN Nexus9000:

monitor session 1 type erspan-source
  erspan-id 1
  ! Specify the vrf that ERSPAN will use to route to the destination IP
  !  NOTE: I have not found a way to use "vrf management" on the 9000 series
  vrf default
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  destination ip 10.5.69.226
  source interface port-channel1001 both
  no shut

! This is the IP address of the switch sourcing ERSPAN packets
monitor erspan origin ip-address 172.16.12.80 global
Mike Pennington
fonte
Quindi essenzialmente non è necessario "chiudere" il tunnel GRE. È solo una questione di "formattazione" del traffico ricevuto ... non è vero?
radtrentasei,
1
@radicetrentasei ERSPAN utilizza un tunnel GRE unidirezionale e tutto ciò che fa gulp è decapsulare il traffico in un driver NIC virtuale Linux. Anche quando si abilitano keepalive su un tipico tunnel Cisco IOS GRE, i pacchetti keepalive contengono la propria risposta, che deve essere instradata attraverso il tunnel opposto fino alla fonte keepalive.
Mike Pennington,
Come intendo, il tunnel GRE tra Cisco e Linux non sarà una buona soluzione per raggiungere il traffico proveniente da Internet verso il punto di partenza "Cisco"
Ali Mezgani,
Ciò che si qualifica come "una buona soluzione" dipende dalle tue esigenze. Per alcuni requisiti ERSPAN per uno sniffer Linux è una buona soluzione
Mike Pennington,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.