Avlyssning i nätverksutrustning
Nätutrustning kan ofta instrueras att avlyssna trafiken på ett eller annat sätt. Meningen är att detta ska kunna användas av legitima administratörer för felsökning, intrångsdetektering och liknande, men det finns en risk att det också kan användas av inkräktare som kommit över administrationsrättigheter för nätutrustningen.
Port Mirroring
På styrbara Ethernet-switchar finns ofta en möjlighet att kopiera trafik från en eller flera portar till en annan port. Man kan ofta även välja om man vill få inkommande data, utgående data eller båda riktningarna kopierade. Det kan också vara möjligt att kopiera trafik för ett helt VLAN. Funktionen är känd under en rad olika namn beroende på tillverkare, till exempel port mirroring, port monitoring och SPAN (Switched Port Analyzer).
För att komma åt den avlyssnade trafiken behöver man normalt en port på samma switch som den avlyssnade porten sitter på. Det finns dock switchar, t.ex. Cisco-utrustning med Remote SPAN där man kan avlyssna på en switch och få ut trafiken på en annan.
För högre hastigheter kan det vara bätter att använda fibertappar för övervakning.
Datorbaserad nätverksutrustning
Ibland passerar nätverkstrafik utrustning som är baserad på en "vanlig" dator som kör Linux/Unix eller Windows. Detta kan vara aktuellt då man till exempel byggt en router, brandvägg eller liknande på en dator med flera nätverkskort.
Om så är fallet är det enkelt att avlyssna trafiken om man har administratörsrättigheter på datorn ifråga. Vanliga trafikvisningsprogram som tcpdump och Ethereal fungerar rätt av. Flödesloggningsprogram som argus funkar också rätt av.
Läs mer
Flow från routrar
Det brukar inte vara lika enkelt att kopiera trafik i routrar som i switchar (se ovan). I routrar finns däremot ofta funktionalitet för att spara information om de uppkopplingar (flöden, flow) som passerat genom dem. Här finns ingen information om själva innehållet i kommunikationen, men inblandade protokoll, IP-adresser och portar framgår tydligt.
Läs mer
. http://en.wikipedia.org/wiki/Netflow (Ciscos version av flow-loggning)
. http://www.sflow.org/ (Sflow, flow-loggning, RFC 3176)