Pentru a analiza traficul de rețea, este necesar să trimiteți pachetul de rețea către NTOP/NPROBE sau Out-of-band Network Security and Monitoring Tools. Există două soluții pentru această problemă:
Oglindire port(cunoscut și sub numele de SPAN)
Atingeți rețeaua(cunoscut și sub denumirea de Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap etc.)
Înainte de a explica diferențele dintre cele două soluții (Port Mirror și Network Tap), este important să înțelegem cum funcționează Ethernet-ul. La 100Mbit și peste, gazdele comunică de obicei în full duplex, ceea ce înseamnă că o gazdă poate trimite (Tx) și primi (Rx) simultan. Aceasta înseamnă că, pe un cablu de 100 Mbit conectat la o gazdă, cantitatea totală de trafic de rețea pe care o gazdă o poate trimite/recepționa (Tx/Rx) este de 2 × 100 Mbit = 200 Mbit.
Oglindirea portului este o replicare activă a pachetelor, ceea ce înseamnă că dispozitivul de rețea este responsabil fizic pentru copierea pachetului în portul oglindit.
Aceasta înseamnă că dispozitivul trebuie să îndeplinească această sarcină utilizând o anumită resursă (cum ar fi CPU-ul), iar ambele direcții de trafic vor fi replicate pe același port. Așa cum am menționat anterior, într-o legătură full duplex, aceasta înseamnă că
A -> B și B -> A
Suma lui A nu va depăși viteza rețelei înainte de a se produce pierderea pachetelor. Acest lucru se datorează faptului că fizic nu există spațiu pentru a copia pachetele. Se pare că oglindirea porturilor este o tehnică excelentă, deoarece poate fi efectuată de multe switch-uri (dar nu de toate), deoarece majoritatea switch-urilor au dezavantajul pierderii de pachete, dacă monitorizați o legătură cu o încărcare de peste 50% sau oglindiți porturile pe un port mai rapid (de exemplu, oglindiți porturile de 100 Mbit pe un port de 1 Gbit). Ca să nu mai vorbim de faptul că oglindirea pachetelor poate necesita schimbul de resurse ale switch-urilor, ceea ce poate încărca dispozitivul și poate cauza degradarea performanței schimbului. Rețineți că puteți conecta 1 port la un port sau 1 VLAN la un port, dar, în general, nu puteți copia mai multe porturi pe 1. (Deci, oglindirea pachetelor) lipsește.
Un punct de acces la terminal (TAP) de rețeaeste un dispozitiv hardware complet pasiv, care poate captura pasiv traficul dintr-o rețea. Este utilizat în mod obișnuit pentru a monitoriza traficul dintre două puncte din rețea. Dacă rețeaua dintre aceste două puncte constă dintr-un cablu fizic, un TAP de rețea poate fi cea mai bună modalitate de a captura traficul.
TAP-ul de rețea are cel puțin trei porturi: un port A, un port B și un port de monitorizare. Pentru a plasa un tap între punctele A și B, cablul de rețea dintre punctul A și punctul B este înlocuit cu o pereche de cabluri, unul mergând la portul A al TAP-ului, celălalt mergând la portul B al TAP-ului. TAP-ul transmite tot traficul dintre cele două puncte de rețea, astfel încât acestea sunt în continuare conectate între ele. De asemenea, TAP-ul copiază traficul în portul său de monitorizare, permițând astfel unui dispozitiv de analiză să asculte.
TAP-urile de rețea sunt utilizate în mod obișnuit de dispozitivele de monitorizare și colectare, cum ar fi APS. TAP-urile pot fi utilizate și în aplicații de securitate, deoarece sunt discrete, nu sunt detectabile în rețea, pot gestiona rețele full-duplex și nepartajate și, de obicei, vor transmite traficul chiar dacă tap-ul nu mai funcționează sau se întrerupe alimentarea cu energie.
Deoarece porturile Network Taps nu primesc, ci doar transmit, switch-ul nu are nicio idee despre cine se află în spatele porturilor. Consecința este că transmite pachetele către toate porturile. Prin urmare, dacă conectați dispozitivul de monitorizare la switch, acesta va primi toate pachetele. Rețineți că acest mecanism funcționează dacă dispozitivul de monitorizare nu trimite niciun pachet către switch; în caz contrar, switch-ul va presupune că pachetele tap-ate nu sunt pentru dispozitivul respectiv. Pentru a realiza acest lucru, puteți utiliza fie un cablu de rețea la care nu aveți conectat firele TX, fie o interfață de rețea fără IP (și fără DHCP) care nu transmite deloc pachete. În cele din urmă, rețineți că, dacă doriți să utilizați un tap pentru a nu pierde pachete, atunci fie nu mergeți direcțiile, fie utilizați un switch în care direcțiile tap-ate sunt mai lente (de exemplu, 100 Mbit) decât portul merge (de exemplu, 1 Gbit).
Deci, cum să captezi traficul de rețea? Network Taps vs. Switch Ports Mirror
1- Configurare ușoară: Atingeți rețea > Oglindire port
2- Influența performanței rețelei: Network Tap < Port Mirror
3- Captură, Replicare, Agregare, Capacitate de redirecționare: Atingere rețea > Oglindire port
4- Latență de redirecționare a traficului: Network Tap < Port Mirror
5- Capacitate de preprocesare a traficului: Network Tap > Port Mirror
Data publicării: 30 martie 2022
