Cum se captează traficul de rețea? Network Tap vs Port Mirror

Pentru a analiza traficul de rețea, este necesar să trimiteți pachetul de rețea către NTOP/NPROBE sau Out-of-band Network Security and Monitoring Tools. Există două soluții la această problemă:

Oglindirea portului(cunoscut și ca SPAN)

Rețea Atingeți(cunoscut și sub numele de Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap etc.)

Înainte de a explica diferențele dintre cele două soluții (Port Mirror și Network Tap), este important să înțelegeți cum funcționează Ethernet. La 100 Mbit și peste, gazdele vorbesc de obicei în full duplex, ceea ce înseamnă că o gazdă poate trimite (Tx) și recepționa (Rx) simultan. Aceasta înseamnă că pe un cablu de 100 Mbit conectat la o gazdă, cantitatea totală a traficului de rețea pe care o gazdă îl poate trimite/primi (Tx/Rx)) este de 2 × 100 Mbit = 200 Mbit.

Port mirroring este o replicare activă a pachetelor, ceea ce înseamnă că dispozitivul de rețea este responsabil fizic pentru copierea pachetului în portul în oglindă.

oglindă portului comutatorului de rețea

Aceasta înseamnă că dispozitivul trebuie să îndeplinească această sarcină utilizând o anumită resursă (cum ar fi CPU) și ambele direcții de trafic vor fi replicate pe același port. După cum am menționat mai devreme, în A link full duplex, asta înseamnă că

A -> B și B -> A

Suma lui A nu va depăși viteza rețelei înainte să se producă pierderea pachetelor. Acest lucru se datorează faptului că fizic nu există spațiu pentru a copia pachetele. Se pare că oglindirea porturilor este o tehnică excelentă, deoarece poate fi efectuată de multe comutatoare (dar nu de toate), deoarece majoritatea comutatoarelor cu dezavantajul pierderii de pachete, dacă monitorizați o legătură cu încărcare de peste 50% sau oglindiți porturi pe un port mai rapid (de exemplu, oglindiți porturile de 100 Mbit pe un port de 1 Gbit). Ca să nu mai vorbim de faptul că oglindirea pachetelor poate necesita schimbul de resurse de comutatoare, ceea ce poate încărca dispozitivul și poate duce la degradarea performanței schimbului. Rețineți că puteți conecta 1 port la un port sau 1 VLAN la un port, dar, în general, nu puteți copia multe porturi pe 1. (Deci, ca oglindă a pachetelor) lipsește.

Un TAP de rețea (Punt de acces terminal)este un dispozitiv hardware complet pasiv, care poate capta pasiv traficul într-o rețea. Este folosit în mod obișnuit pentru a monitoriza traficul dintre două puncte din rețea. Dacă rețeaua dintre aceste două puncte constă dintr-un cablu fizic, un TAP de rețea poate fi cel mai bun mod de a capta traficul.

Rețeaua TAP are cel puțin trei porturi: un port A, un port B și un port de monitor. Pentru a plasa un robinet între punctele A și B, cablul de rețea dintre punctul A și punctul B este înlocuit cu o pereche de cabluri, unul mergând la portul A al TAP-ului, celălalt mergând la portul B al TAP-ului. TAP trece tot traficul dintre cele două puncte de rețea, astfel încât acestea sunt încă conectate unul la celălalt. TAP-ul copiază, de asemenea, traficul în portul său de monitor, permițând astfel unui dispozitiv de analiză să asculte.

TAP-urile de rețea sunt utilizate în mod obișnuit de dispozitivele de monitorizare și colectare, cum ar fi APS. TAP-urile pot fi, de asemenea, utilizate în aplicații de securitate, deoarece nu sunt obstructive, nu sunt detectabile în rețea, pot face față rețelelor full-duplex și nepartajate și vor trece, de obicei, traficul chiar dacă robinetul nu mai funcționează sau își pierde puterea. .

agregare prin retea

Deoarece porturile Network Taps nu primesc, ci doar transmit, comutatorul nu are nicio idee cine se află în spatele porturilor. Consecința este că transmite pachetele către toate porturile. Prin urmare, dacă vă conectați dispozitivul de monitorizare la comutator, un astfel de dispozitiv va primi toate pachetele. Rețineți că acest mecanism funcționează dacă dispozitivul de monitorizare nu trimite niciun pachet către comutator; în caz contrar, comutatorul va presupune că pachetele accesate nu sunt pentru un astfel de dispozitiv. Pentru a realiza acest lucru, puteți fie să utilizați un cablu de rețea la care nu ați conectat firele TX, fie să utilizați o interfață de rețea fără IP (și fără DHCP) care nu transmite pachete deloc. În cele din urmă, rețineți că, dacă doriți să utilizați o atingere pentru a nu pierde pachete, atunci fie nu îmbinați direcțiile, fie utilizați un comutator în care direcțiile atingete sunt mai lente (de exemplu, 100 Mbit) decât portul de îmbinare (de exemplu, 1 Gbit).

replicare prin retea

Deci, cum să captezi traficul de rețea? Rețea Taps vs Switch Ports Mirror

1- Configurare simplă: Atingeți Rețea > Port Mirror

2- Influența performanței rețelei: Atingeți rețea < Port Mirror

3- Captură, replicare, agregare, capacitatea de redirecționare: Atingeți rețea > Port Mirror

4- Latența de redirecționare a traficului: Atingeți rețea < Port Mirror

5- Capacitatea de preprocesare a traficului: Atingeți rețea > Port Mirror

robinete de rețea vs oglindă porturi


Ora postării: 30-mar-2022