Pentru a analiza traficul de rețea, este necesar să trimiteți pachetul de rețea către NTOP/NPROBE sau instrumente de securitate și monitorizare a rețelei din afara benzii. Există două soluții la această problemă:
Oglindirea portului(cunoscut și sub numele de span)
Rețea de apăsare(Cunoscut și sub denumirea de replicare, atingere de agregare, atingere activă, apăsare de cupru, robinet ethernet etc.)
Înainte de a explica diferențele dintre cele două soluții (oglinda portului și rețeaua de rețea), este important să înțelegem cum funcționează Ethernet. La 100Mbit și mai sus, gazdele vorbesc de obicei în întregime duplex, ceea ce înseamnă că o gazdă poate trimite (TX) și primi (RX) simultan. Aceasta înseamnă că pe un cablu de 100 mbit conectat la o gazdă, cantitatea totală a traficului de rețea pe care o gazdă o poate trimite/primi (TX/RX)) este de 2 × 100 mbit = 200 mbit.
Oglindirea portului este o replicare activă a pachetelor, ceea ce înseamnă că dispozitivul de rețea este responsabil fizic de copierea pachetului în portul oglindit.
Aceasta înseamnă că dispozitivul trebuie să îndeplinească această sarcină folosind unele resurse (cum ar fi procesorul), iar ambele direcții de trafic vor fi replicate în același port. După cum am menționat anterior, într -un link duplex complet, aceasta înseamnă că asta
A -> b și b -> a
Suma A nu va depăși viteza rețelei înainte de a avea loc pierderea pachetelor. Acest lucru se datorează faptului că nu există din punct de vedere fizic spațiu pentru a copia pachete. Se dovedește că oglindirea portului este o tehnică excelentă, deoarece poate fi efectuată de multe comutatoare (dar nu toate), deoarece majoritatea comutatoarelor cu dezavantajul pierderii de pachete, dacă monitorizați o legătură cu peste 50% sarcină sau oglindesc porturile pe un port mai rapid (de exemplu, oglindă de 100 mbit porturi pe un port de 1 gbit). Nu mai vorbim de faptul că oglindirea pachetelor poate necesita schimbul de resurse de comutatoare, care pot încărca dispozitivul și poate determina degradarea performanței de schimb. Rețineți că puteți conecta 1 port la un port, sau 1 VLAN la un port, dar, în general, nu puteți copia multe porturi la 1. (Deci, pe măsură ce oglinda pachetului) lipsește.
Un robinet de rețea (punct de acces terminal)este un dispozitiv hardware complet pasiv, care poate capta pasiv traficul pe o rețea. Este utilizat în mod obișnuit pentru a monitoriza traficul între două puncte din rețea. Dacă rețeaua dintre aceste două puncte constă dintr -un cablu fizic, un robinet de rețea poate fi cea mai bună modalitate de a capta traficul.
Tap -ul de rețea are cel puțin trei porturi: un port A, un port B și un port de monitorizare. Pentru a plasa un robinet între punctele A și B, cablul de rețea între punctul A și punctul B este înlocuit cu o pereche de cabluri, unul mergând la portul A TAP, celălalt mergând în portul B TAP. Tapul trece tot traficul dintre cele două puncte de rețea, astfel încât acestea sunt încă conectate între ele. De asemenea, robinetul copiază traficul către portul său de monitorizare, permițând astfel un dispozitiv de analiză să asculte.
Robinetele de rețea sunt utilizate în mod obișnuit prin monitorizarea și colectarea dispozitivelor APS. TAP-urile pot fi utilizate și în aplicațiile de securitate, deoarece nu sunt obținute, nu sunt detectabile în rețea, pot face față rețelelor full-duplex și non-partajate și, de obicei, vor trece traficul, chiar dacă robinetul încetează să funcționeze sau pierde puterea.
Deoarece porturile de rețea nu se primesc, ci se transmit doar, comutatorul nu are niciun indiciu care stă în spatele porturilor. Consecința este că a difuzat pachetele în toate porturile. Prin urmare, dacă conectați dispozitivul de monitorizare la comutator, un astfel de dispozitiv va primi toate pachetele. Rețineți că acest mecanism funcționează dacă dispozitivul de monitorizare nu trimite niciun pachet la comutator; În caz contrar, comutatorul va presupune că pachetele atmosite nu sunt pentru un astfel de dispozitiv. Pentru a realiza acest lucru, puteți utiliza un cablu de rețea pe care nu ați conectat firele TX, fie puteți utiliza o interfață de rețea IP fără IP (și DHCP) care nu transmite deloc pachete. În cele din urmă, rețineți că, dacă doriți să utilizați un robinet pentru a nu pierde pachete, atunci nu îmbinați indicațiile, fie utilizați un comutator în care direcțiile înregistrate sunt mai lente (de exemplu, 100 mbit) decât portul de îmbinare (de exemplu, 1 gbit).
Deci, cum să captați traficul de rețea? Rețea robinete vs porturi de comutare oglindă
1- Configurare ușoară: tapare de rețea> oglindă port
2- Influența performanței rețelei: atingere rețea <Port Mirror
3- Captură, replicare, agregare, capacitate de redirecționare: atingere rețea> oglindă port
4- Latență de redirecționare a traficului: atingere rețea <Port Mirror
5- Capacitate de preprocesare a traficului: atingere rețea> Oglindă port
Timpul post: MAR-30-2022
