¿Pero que pasa si queremos escuchar en una interfaz física donde hay varias vlanes?. En principio, lo lógico sería que viésemos todo el tráfico, tanto las tramas que están marcadas con una vlan como las tramas sin marcar. Pues consultando el wiki the Wireshark (Ethereal), me encuentro con esta información sobre Linux.
... After your VLAN interfaces are set up and traffic is flowing, you can run Wireshark and capture on the VLAN interface of your choice (e.g., eth0.100 for VLAN 100) or on the underlying physical interface (e.g., eth0). If you choose the former, you will only see frames destined for that VLAN; if you choose the latter, you may see all frames or you may see only untagged frames (if there are any). It depends on the NIC, the NIC firmware, the driver, and the alignment of the moon and planets. ...Es decir, en función del driver, el firmware del mismo o el driver, veremos el tráfico completo si escuchamos en la interfaz física. Lo comento para no llevarse sorpresas cuando se esté capturando tráfico o usando un IDS en Linux.
Technorati Tags: linux, networking, snort
No hay comentarios:
Publicar un comentario