אז מה זה Promiscuous Mode ?
יהיה אפשר לפשט את ההסבר בקלות, כאשר נבין שכל סניפר שאנחנו מפעילים על מערכת כלשהי- מופעל עליו מצב Promiscuous Mode כברירת מחדל.
המצב הזה אומר- הסניפר כעת מאזין לכל התעבורה שעוברת דרך כרטיס הרשת ולא רק לתעבורה שעוברת בטווח שלו. כך שהוא יוכל לקבל גם את חבילות המידע שהגיעו לכרטיס הרשת של המחשב, אך לא היו מיועדות אליו, ולכן מערכת ההפעלה לא העלתה אותן לעיבוד. במצב כזה הרחרחן עובד ברמת כרטיס הרשת ולא ברמת מערכת ההפעלה.
כמובן שחשוב לשים לב שלמרות שהסניפר שלנו עובד ברמת Promiscuous Mode, זה עדין לא אומר שאנחנו הולכים עכשיו להסניף את כל הLAN .
אנחנו עדיין נתונים למגבלות ה Switch - מה שאומר, נוכל לראות רק תעבורת שיוצאת דרכנו, שנכנסת אלינו ותעבורת Broadcast . על-מנת שנוכל ללכוד תעבורה שלא מיועדת לכרטיס הרשת שלנו, ובעצם לנצל את מצב ה Promiscuous Mode של כרטיס הרשת, נצטרך לבצע אחת מהשיטות הבאות:
1. בסביבת Hyper-V נשתמש במצב Port Mirroring. ההגדרה היא ברמת ה- Clients
מדריך: Hyper-V Port Mirroring and Network Capture
2. בסביבת VMWare נשתמש במצב ה- Promiscuous Mode ברמת ה vSwitch.
וידאו: http://www.youtube.com/watch?v=kICGYGQQ9OU
3. או שפשוט נגרום ל Switch פיזי לתפקד כ HUB, במדריך אחר נדגים כיצד.
Non-promiscuous mode:
מצב non-promiscuous mode הוא ההפך מ- Promiscuous Mode, זהו מצב שבו כאשר מנת נתונים עוברת ב LAN, כל התקני ה LAN ברשת "מקשיבים" כדי לקבוע האם כתובת הרשת שלהם כלולה ב- data packet . אם המנה לא מיועדת אליהם אז היא תמשיך להיות מועברת עד שתגיע ליעדה.
משמע- במצב זה, אתם תראו traffic אל המכונה שלכם ומהמכונה שלכם.
מושג חדש שנכיר כעת:
Monitor mode- מרחרח את ה-packets ב"אוויר" ללא כל חיבור לנקודת גישה ( access point )
משום שאין כל חיבור פיזי, לא ניתן לעבד מידע Ethernet .
Wirshark לדוגמא לא תומך ב Monitor mode על Windows.
לסיכום:
על אף שניתן לעתים לקבל ממחשב יחיד את התעבורה של כלל הרשת, כדי לנטר באופן קבוע את התעבורה ברשת עדיף להתקין את הרחרחן בנקודה מרכזית ברשת, למשל על גבי נתב או מתג מרכזיים, כך שכלל התעבורה שעוברת דרכם תתועד ותנותח. חלק מרכיבי הרשת הללו כוללים שער ניטור (Monitoring Port) שמאפשר למחשב המתחבר לאותו השער לקבל שיקוף של כלל התעבורה העוברת על גבי הרכיב. אם רכיב הרשת לא מכיל שער ניטור שכזה, ניתן להשתמש ברחרחן חומרתי היושב על הרשת ולא מבצע אף פעולה למעט קבלת התעבורה, תיעודה, והעברתה הלאה.
ברשת אלחוטית, רחרחן המותקן על מחשב המחובר לרשת אלחוטית יכול לרחרח את כלל התעבורה שבערוץ מסוים.
יהיה אפשר לפשט את ההסבר בקלות, כאשר נבין שכל סניפר שאנחנו מפעילים על מערכת כלשהי- מופעל עליו מצב Promiscuous Mode כברירת מחדל.
המצב הזה אומר- הסניפר כעת מאזין לכל התעבורה שעוברת דרך כרטיס הרשת ולא רק לתעבורה שעוברת בטווח שלו. כך שהוא יוכל לקבל גם את חבילות המידע שהגיעו לכרטיס הרשת של המחשב, אך לא היו מיועדות אליו, ולכן מערכת ההפעלה לא העלתה אותן לעיבוד. במצב כזה הרחרחן עובד ברמת כרטיס הרשת ולא ברמת מערכת ההפעלה.
כמובן שחשוב לשים לב שלמרות שהסניפר שלנו עובד ברמת Promiscuous Mode, זה עדין לא אומר שאנחנו הולכים עכשיו להסניף את כל הLAN .
אנחנו עדיין נתונים למגבלות ה Switch - מה שאומר, נוכל לראות רק תעבורת שיוצאת דרכנו, שנכנסת אלינו ותעבורת Broadcast . על-מנת שנוכל ללכוד תעבורה שלא מיועדת לכרטיס הרשת שלנו, ובעצם לנצל את מצב ה Promiscuous Mode של כרטיס הרשת, נצטרך לבצע אחת מהשיטות הבאות:
1. בסביבת Hyper-V נשתמש במצב Port Mirroring. ההגדרה היא ברמת ה- Clients
מדריך: Hyper-V Port Mirroring and Network Capture
2. בסביבת VMWare נשתמש במצב ה- Promiscuous Mode ברמת ה vSwitch.
וידאו: http://www.youtube.com/watch?v=kICGYGQQ9OU
3. או שפשוט נגרום ל Switch פיזי לתפקד כ HUB, במדריך אחר נדגים כיצד.
Non-promiscuous mode:
מצב non-promiscuous mode הוא ההפך מ- Promiscuous Mode, זהו מצב שבו כאשר מנת נתונים עוברת ב LAN, כל התקני ה LAN ברשת "מקשיבים" כדי לקבוע האם כתובת הרשת שלהם כלולה ב- data packet . אם המנה לא מיועדת אליהם אז היא תמשיך להיות מועברת עד שתגיע ליעדה.
משמע- במצב זה, אתם תראו traffic אל המכונה שלכם ומהמכונה שלכם.
מושג חדש שנכיר כעת:
Monitor mode- מרחרח את ה-packets ב"אוויר" ללא כל חיבור לנקודת גישה ( access point )
משום שאין כל חיבור פיזי, לא ניתן לעבד מידע Ethernet .
Wirshark לדוגמא לא תומך ב Monitor mode על Windows.
לסיכום:
על אף שניתן לעתים לקבל ממחשב יחיד את התעבורה של כלל הרשת, כדי לנטר באופן קבוע את התעבורה ברשת עדיף להתקין את הרחרחן בנקודה מרכזית ברשת, למשל על גבי נתב או מתג מרכזיים, כך שכלל התעבורה שעוברת דרכם תתועד ותנותח. חלק מרכיבי הרשת הללו כוללים שער ניטור (Monitoring Port) שמאפשר למחשב המתחבר לאותו השער לקבל שיקוף של כלל התעבורה העוברת על גבי הרכיב. אם רכיב הרשת לא מכיל שער ניטור שכזה, ניתן להשתמש ברחרחן חומרתי היושב על הרשת ולא מבצע אף פעולה למעט קבלת התעבורה, תיעודה, והעברתה הלאה.
ברשת אלחוטית, רחרחן המותקן על מחשב המחובר לרשת אלחוטית יכול לרחרח את כלל התעבורה שבערוץ מסוים.
תודה רבה, עזרת לי מאוד!
השבמחק`3. או שפשוט נגרום ל Switch פיזי לתפקד כ HUB, במדריך אחר נדגים כיצד.`
השבמחקיש מדריך כזה?