问题
问答题
某网络结构如下图所示,清回答以下有关问题。
如果采用入侵检测设备对进出网络流量进行检测,并且探测器是在交换机1上通过端口镜像方式获得流量的。下面是通过相关命令显示的镜像设置信息:请问探测器应该连接在交换机1的哪个端口上?
答案
参考答案:
Gi2/16端口;基于主机。
解析:
端口镜像是把被镜像端口的进出数据报文完全复制一份到镜像端口,这样来进行流量观测或者故障定位。探测器应该连接Destination Ports,故应该连接交换机1的Gi2/16端口。探测器主要分两类:基于网络流量的和基于主机号的。基于网络流量的探测器负责嗅探网络的连接,监视例如TCP包的流量等,看看有没有被攻击的迹象;基于主机的探测器在重要的系统服务中、工作站或用户机器上运行,监视OS或系统事件级别的可疑活动。