Привет всем.
есть задача - снифать трафик icq и выводить это в удобном виде через веб-интерфейс.
Предвидя все встречные возражения, скажу сразу что это у нас легально, и каждый сотрудник расписался, что не против.
Я выбрал для этих целей aimsniff. Он может либо сам снифать трафик, либо юзать снятые ранее дампы. Поскольку это нужно делать в реалтайме - то остаётся одно, снифать трафик самому aimsniff`у. И всё бы хорошо, если бы у нас шлюз был на линуксе или фре(туда бы можно было сразу поставить aimsniff), но мы имеем в качестве шлюза циску(NAT/PAT). Возникает вопрос как перенапрвлять трафик на хост,где будет крутится aimsniff.
Я решил зеркалировать трафик на хост с aimsniff'ом используя соответсвующие возможности свитча(SPAN). ОК,допустим теперь трафик приходит.... но т.к. трафик не предназначается хосту с aimsniff'ом он будет отвергать его(в случае tcp - rst пакетами)
и тут вопрос: помогает ли Promiscuous mode ?(или он разрешает трафик только на L2?)
ещё например в бсд есть sysctl net.inet.tcp.blackhole & net.inet.udp.blackhole.
можно конечно и это заюзать, но таким образом получиться много подвисших соединений со стороны клиентов, т.к. вместо port unreacheble им не будет посылаться ничего.
Так какой же грамотный вариант решения данной проблемы?
Заранее спасибо.
PS пишу в этот раздел,т.к. считаю что чаще всего именно людям, посещяющим этот раздел, приходилось использовать SPAN и сталкиваться с соответсвующими проблемами.