在wireshark中查看发往其他人的服务器的stream量

我从托pipe服务提供商租用专用服务器。 我在我的服务器上运行wireshark,这样我就可以看到传入我的服务器的HTTPstream量。

一旦我运行wireshark并过滤HTTP,我注意到一个负载的stream量,但其中大部分是不是我的服务器上托pipe的东西,并有一个目标IP地址是不是我的,有各种各样的源IP地址。 我的直接反应是认为有人通过我的服务器以某种方式隧道传输HTTPstream量。

但是,当我仔细观察时,我注意到所有这些stream量都是在同一个子网上的主机上,所有这些IP地址都属于我使用的同一个主机提供商。

所以看起来wireshark拦截了其他客户的stream量,这些客户的服务器连接到与我的networking相同的部分。

现在我总是认为,在基于交换机的networking上,这种情况不会发生,因为交换机只会将数据发送到所需的主机,而不是每个连接的盒子。

我假设在这种情况下,其他客户也将能够看到数据到我的服务器。 除了潜在的隐私问题,这样做肯定会使ARP容易,并允许其他人窃取IP地址(以及因此域和网站)?

networking提供商以这种方式configurationnetworking似乎很奇怪。 这里有更合理的解释吗?

显然你所描述的是一个共享环境的一个非常糟糕的做法,我会把它与您的托pipe服务提供商。

最合理的解释是一个负载均衡器,可能是一个高可用性的防火墙在同一个网段内的负载分担模式下使用具有单播IP地址的组播MAC地址进行路由。 通过使用组播MAC,多个防火墙可以看到stream量,并且会实现自己的负载均衡algorithm,因此在线集群成员只能响应部分stream量。 出于路由目的,单播IP地址被附加到虚拟IP上。 由于IPparsing为多播MAC,因此发送给它的任何stream量都将在本地网段上获得多播,并由其中一个群集节点获取。

我以前看过这个configuration,但是不知道networking只是猜测,但最有可能的是它是一个托pipe服务提供商。

NLB http://technet.microsoft.com/en-us/library/bb742455.aspx就是一个例子,但是我知道某些configuration中的Check Point防火墙以及其他完全相同的产品。

重申一下,这是一个共享主机模型的不安全configuration。

开关工作是这样的:

默认情况下,它们作为中心运行; 所有stream量都会熄灭所有接口。 但是,一旦stream量进入给定的源MAC,目的地为该MAC的stream量将只会stream出该接口。 如果在多个接口上看到一个给定的MAC,则两者都会出现; 可能最终重置,只能走出最近看到的stream量。

这是默认行为。 对于更便宜的硬件来说,这不是唯一的行为,但是pipe理型交换机可以根据您的心意进行configuration。 所以一切皆有可能 请注意,我没有提到IP地址; 交换机传统上工作在第2层,而不是第3层。昂贵的pipe理型交换机可能会模糊路由器的线路,但传统上他们只关心MAC地址。 然而,糟糕的configuration可以覆盖典型的交换行为,并消除任何types的主机隔离。

还有一件事值得一提:桥梁。 这有什么关系? 如果您的硬件是虚拟化的,那么即使“专用”( 绝对是空中报价 )托pipe服务提供商也变得越来越普遍。 具体来说,通过selectnetworking适配器或通过附加到框内的虚拟networking(通常设置为桥),VM连接到networking。 在这两种情况下,所有的虚拟机都在同一个交换机网段上,这意味着数据包捕获问题。

最后,他们可以使用集线器。 是的,可能不是。 但只是在说。