可以单播到多播吗？

Question

我能否检查是否有可能将TCP流量转换为UDP组播，以及是否有任何设备/交换机可以这样做？

例如，A、B和C工作站与Server1建立TCP连接。当消息从Server1发送回A、B或C工作站时，是否有可能将这些消息从Server1转换为UDP组播，并允许所有工作站侦听多播组？我需要一个工作站，以便能够监听来自Server1的所有通信量，这些流量最初是为其他任何工作站准备的。

谢谢。

Answer 1

一般来说，不能将TCP转换为UDP或IGMP。

您所要求的需要应用层中的某种机制--例如，某种代理可以做到这一点。但是，请注意，传输层之上的层是非主题的。

如果您只需要发送到/从Server1发送的TCP段的副本来侦听连接，这正是端口镜像的目的所在，请参阅Marc的答案。

Answer 2

不是通过多播，我不知道怎么做。

可能有帮助的是端口镜像("span端口“、”监视端口“)，就像许多托管交换机提供的那样。

在您选择作为出口/目的地/输出端口的端口的带宽限制范围内，您甚至可以监视多个端口(例如A、B和C工作站的开关端口)，也可以监视服务器的端口。当然，将多个加载的1G端口监视到一个目标端口可能不是最好的方法。

然后将另一台计算机的NIC连接到目标/输出端口。必须将NIC设置为监视或混杂模式。并且需要运行一个可以捕获的应用程序(可选：..并分析在实时)以太网帧，当他们进来，计算机需要适当的大小和适当的快速存储或RAM的数据量，你想要捕获和保存。

请注意，端口镜像不提供任何过滤机制或数据流的选择性镜像--它们只是在以太网帧出现时复制它们。

根据对给定情况感兴趣的MAC/IP地址(Es)或TCP/UDP端口等标准设置捕获筛选器可能是可取的，以减少所需的存储量，并消除一些“噪音”。

根据您的场景，您的需求可能会有所不同，从专门的高容量/高速捕获设备，到带有千兆字节NIC的简单膝上型计算机(例如) stop、winpcap作为捕获库，以及Wireshark用于控制捕获库(启动、停止、捕获过滤器)和( b)分析和剖析数据包和流。(请注意，重新来源的建议实际上是非主题的)。

Addon 1

然后，在一些交换机和路由器上有ERSPAN。对于ERSPAN，镜像安装程序的目标/输出不是同一个交换机上的另一个端口。相反，从监视/镜像端口捕获的数据包被封装到GRE/IP数据包中，并从交换机的管理IP附件发送到IP目的地。

该目的地可能会拒绝另一个ERSPAN交换机/路由器，但也可能是一个Wireshark实例，该实例被配置为接收和解除对ERSPAN数据包的封装。

见此处：用ERSPAN远程嗅探到桌面

Addon 2

还请考虑到：

完整的数据包捕获和分析是一个“大锤子”，通常是在发现特定问题并需要完全理解数据包有效载荷或报头中的最新比特(字面意思)时调用的。

如果您的“正在寻找风格的统计/元信息”，哪台计算机与哪一台计算机交谈，何时和多长时间，使用哪种协议，以及交换了多少数据？在很长一段时间内，您应该了解NetFlow技术。

NetFlow支持交换机和路由器收集关于数据流的(元)信息，并将其转发到一个"netflow收集器“，该收集器可以对数据流进行汇总、统计、报告、相关、图表、分析。这将比筛选大量捕获的数据要快得多。

当然，您可以从一个完整的数据包捕获将在给定时间内生成的海量数据堆中提取/浓缩所有这些信息。这将是一个有点昂贵的存储和计算(和财务)资源。