Jak przechwytywać ruch sieciowy? Tap sieciowy a port lustrzany

W celu analizy ruchu sieciowego konieczne jest wysłanie pakietu sieciowego do NTOP/NPROBE lub Out-of-band Network Security and Monitoring Tools. Istnieją dwa rozwiązania tego problemu:

Dublowanie portów(znany również jako SPAN)

Dotknij sieci(znany również jako Tap replikacji, Tap agregacji, Active Tap, Copper Tap, Ethernet Tap itp.)

Przed wyjaśnieniem różnic między dwoma rozwiązaniami (Port Mirror i Network Tap) ważne jest, aby zrozumieć, jak działa Ethernet. Przy przepustowości 100 Mbit i większej hosty zwykle komunikują się w trybie pełnego dupleksu, co oznacza, że ​​jeden host może jednocześnie wysyłać (Tx) i odbierać (Rx). Oznacza to, że na kablu 100 Mbit podłączonym do jednego hosta całkowita ilość ruchu sieciowego, który jeden host może wysłać/odbrać (Tx/Rx)) wynosi 2 × 100 Mbit = 200 Mbit.

Dublowanie portów to aktywna replikacja pakietów, co oznacza, że ​​urządzenie sieciowe jest fizycznie odpowiedzialne za kopiowanie pakietu do portu lustrzanego.

lustro portu przełącznika sieciowego

Oznacza to, że urządzenie musi wykonać to zadanie wykorzystując jakieś zasoby (np. procesor), a oba kierunki ruchu będą replikowane do tego samego portu. Jak wspomniano wcześniej, w przypadku łącza pełnego dupleksu oznacza to, że

A -> B i B -> A

Suma A nie przekroczy prędkości sieci przed wystąpieniem utraty pakietów. Dzieje się tak, ponieważ fizycznie nie ma miejsca na kopiowanie pakietów. Okazuje się, że dublowanie portów jest świetną techniką, ponieważ może być wykonywane przez wiele przełączników (ale nie wszystkie), ponieważ większość przełączników ma wadę utraty pakietów, jeśli monitorujesz łącze z obciążeniem przekraczającym 50% lub lustrzanie porty na szybszy port (np. kopiuj porty 100 Mbit na port 1 Gbit). Nie wspominając, że dublowanie pakietów może wymagać wymiany zasobów przełączników, co może obciążyć urządzenie i spowodować pogorszenie wydajności wymiany. Należy pamiętać, że można podłączyć 1 port do jednego portu lub 1 sieć VLAN do jednego portu, ale generalnie nie można skopiować wielu portów do 1. Brakuje (tak jak kopii lustrzanej pakietów).

Sieć TAP (punkt dostępu terminala)to w pełni pasywne urządzenie sprzętowe, które może pasywnie przechwytywać ruch w sieci. Jest powszechnie stosowany do monitorowania ruchu pomiędzy dwoma punktami w sieci. Jeśli sieć między tymi dwoma punktami składa się z kabla fizycznego, najlepszym sposobem przechwytywania ruchu może być sieciowy TAP.

Sieciowy TAP ma co najmniej trzy porty: port A, port B i port monitora. Aby umieścić kran pomiędzy punktami A i B, kabel sieciowy pomiędzy punktem A i punktem B zastępuje się parą kabli, jeden biegnący do portu A TAP-a, drugi do portu B TAP-a. TAP przekazuje cały ruch pomiędzy dwoma punktami sieciowymi, dzięki czemu są one nadal ze sobą połączone. TAP kopiuje również ruch do swojego portu monitora, umożliwiając w ten sposób nasłuchiwanie urządzeniu analitycznemu.

Sieciowe TAP są powszechnie używane przez urządzenia monitorujące i zbierające, takie jak APS. TAP-y można również stosować w zastosowaniach związanych z bezpieczeństwem, ponieważ nie rzucają się w oczy, nie są wykrywalne w sieci, radzą sobie z sieciami z pełnym dupleksem i sieciami niewspółdzielonymi i zazwyczaj będą przepuszczać ruch, nawet jeśli kran przestanie działać lub straci moc .

agregacja kranów sieciowych

Ponieważ porty Network Taps nie odbierają, a jedynie transmitują, przełącznik nie ma pojęcia, kto siedzi za portami. Konsekwencją jest rozgłaszanie pakietów do wszystkich portów. Dlatego jeśli podłączysz urządzenie monitorujące do przełącznika, urządzenie to będzie odbierać wszystkie pakiety. Należy pamiętać, że ten mechanizm działa, jeśli urządzenie monitorujące nie wysyła żadnego pakietu do przełącznika; w przeciwnym razie przełącznik przyjmie, że przejęte pakiety nie są przeznaczone dla tego urządzenia. Aby to osiągnąć, możesz albo użyć kabla sieciowego, do którego nie podłączyłeś przewodów TX, albo użyć interfejsu sieciowego bez IP (i bez DHCP), który w ogóle nie przesyła pakietów. Na koniec zauważ, że jeśli chcesz użyć dotknięcia, aby nie tracić pakietów, to albo nie łącz kierunków, albo użyj przełącznika, w którym wybrane kierunki są wolniejsze (np. 100 Mbit) niż port scalania (np. 1 Gbit).

replikacja sieciowa

Jak więc przechwytywać ruch sieciowy? Krany sieciowe a kopia lustrzana portów przełącznika

1- Łatwa konfiguracja: Stuknij w sieć > Port Mirror

2- Wpływ na wydajność sieci: Stuknij sieć < Port Mirror

3- Przechwytywanie, replikacja, agregacja, przesyłanie dalej: Sieć Stuknij > Port Mirror

4- Opóźnienie przekazywania ruchu: Stuknij opcję Sieć < Port Mirror

5- Wydajność wstępnego przetwarzania ruchu: Stuknij opcję Sieć > Port Mirror

krany sieciowe a porty lustrzane


Czas publikacji: 30 marca 2022 r