Identifizieren der Merkmale bestimmter Kategorien Netzwerkverkehr (von Load Balancer oder Port-basierte NAT)

Question

Ich verwende einen Sniffer (wie Wireshark), um den Netzwerkverkehr zu überwachen.

Ich habe keine Vorkenntnisse der Netztopologie. Mein Ziel ist es, IPs als Load Balancer oder NAT-Einstiegspunkte zu identifizieren.

Wie kann ich feststellen, dass ein bestimmtes Paket von einem Load Balancer stammt oder eine Firewall durchlaufen hat und eine portbasierte Netzwerkadressübersetzung (Network Address Translation, NAT) ausgeführt wurde?

Welche Identifikationsmerkmale gibt es für beide Anwendungsfälle?

Answer 1

Wenn zwischen dem Point-of-Capture-Gerät und den Balancer-/Firewall-Geräten kein Schicht-3-Gerät (Schicht 3) vorhanden ist, können Sie mithilfe der Quell-MAC feststellen, woher die Pakete stammen.

Eigentlich hängt viel davon ab, wie das Netzwerk erscheint, von wo Sie die Pakete erfassen.

• Sind die Load-Balancer auf einem anderen Pfad/Richtung von der Firewall? Wie, ist die Firewall auf der Internet-Seite und die Balancer auf die Server (oder balancieren sie die Internet-Verbindung)?
• Wo sind die Layer-3-Geräte? Irgendwelche zwischen dem Aufnahmepunkt und diesen anderen Geräten? Funktionieren der Balancer und/oder die Firewall als Layer-3-Geräte?