Aby przeanalizować ruch sieciowy, konieczne jest wysłanie pakietu sieciowego do NTOP/NPROBE lub Out-of-band Network Security and Monitoring Tools. Istnieją dwa rozwiązania tego problemu:
Dublowanie portów(znany również jako SPAN)
Dotknij sieci(znany również jako Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap itp.)
Zanim wyjaśnimy różnice między tymi dwoma rozwiązaniami (Port Mirror i Network Tap), ważne jest zrozumienie, jak działa Ethernet. Przy 100 Mbit i więcej hosty zazwyczaj komunikują się w pełnym dupleksie, co oznacza, że jeden host może wysyłać (Tx) i odbierać (Rx) jednocześnie. Oznacza to, że w kablu 100 Mbit podłączonym do jednego hosta, całkowita ilość ruchu sieciowego, którą jeden host może wysyłać/odbierać (Tx/Rx)) wynosi 2 × 100 Mbit = 200 Mbit.
Mirroring portów to aktywna replikacja pakietów, co oznacza, że urządzenie sieciowe jest fizycznie odpowiedzialne za kopiowanie pakietu do lustrzanego portu.
Oznacza to, że urządzenie musi wykonać to zadanie, używając jakiegoś zasobu (takiego jak CPU), a oba kierunki ruchu będą replikowane do tego samego portu. Jak wspomniano wcześniej, w Łącze pełnego dupleksu oznacza to, że
A -> B i B -> A
Suma A nie przekroczy prędkości sieci przed utratą pakietów. Dzieje się tak, ponieważ fizycznie nie ma miejsca na kopiowanie pakietów. Okazuje się, że dublowanie portów jest świetną techniką, ponieważ może być wykonywane przez wiele przełączników (ale nie wszystkie), ponieważ większość przełączników ma wadę utraty pakietów, jeśli monitorujesz łącze z obciążeniem ponad 50% lub dublujesz porty na szybszy port (np. dublujesz porty 100 Mbit na port 1 Gbit). Nie wspominając o tym, że dublowanie pakietów może wymagać wymiany zasobów przełączników, co może obciążać urządzenie i powodować pogorszenie wydajności wymiany. Należy pamiętać, że można podłączyć 1 port do jednego portu lub 1 sieć VLAN do jednego portu, ale generalnie nie można kopiować wielu portów do 1. (Tak więc lustrzane odbicie pakietów) jest nieobecne.
Punkt dostępu terminala (TAP)jest w pełni pasywnym urządzeniem sprzętowym, które może pasywnie przechwytywać ruch w sieci. Jest powszechnie używane do monitorowania ruchu między dwoma punktami w sieci. Jeśli sieć między tymi dwoma punktami składa się z fizycznego kabla, TAP sieciowy może być najlepszym sposobem na przechwytywanie ruchu.
Sieć TAP ma co najmniej trzy porty: port A, port B i port monitora. Aby umieścić tap między punktami A i B, kabel sieciowy między punktem A i punktem B jest zastępowany parą kabli, jeden idzie do portu A TAP, a drugi idzie do portu B TAP. TAP przekazuje cały ruch między dwoma punktami sieci, więc nadal są one ze sobą połączone. TAP kopiuje również ruch do swojego portu monitora, umożliwiając w ten sposób urządzeniu analitycznemu nasłuchiwanie.
Sieciowe TAP-y są powszechnie używane przez urządzenia monitorujące i zbierające, takie jak APS. TAP-y mogą być również używane w aplikacjach bezpieczeństwa, ponieważ są nieinwazyjne, nie są wykrywalne w sieci, mogą obsługiwać sieci pełnodupleksowe i nieudostępniane oraz zazwyczaj przekazują ruch, nawet jeśli TAP przestanie działać lub straci zasilanie.
Ponieważ porty Network Tap nie odbierają, lecz tylko przesyłają, przełącznik nie ma pojęcia, kto siedzi za portami. W rezultacie rozgłasza pakiety do wszystkich portów. Dlatego jeśli podłączysz urządzenie monitorujące do przełącznika, takie urządzenie odbierze wszystkie pakiety. Należy zauważyć, że ten mechanizm działa, jeśli urządzenie monitorujące nie wysyła żadnych pakietów do przełącznika; w przeciwnym razie przełącznik założy, że podsłuchiwane pakiety nie są przeznaczone dla takiego urządzenia. Aby to osiągnąć, możesz użyć kabla sieciowego, do którego nie podłączyłeś przewodów TX, lub użyć interfejsu sieciowego bez IP (i bez DHCP), który w ogóle nie przesyła pakietów. Na koniec należy zauważyć, że jeśli chcesz użyć podsłuchu, aby nie tracić pakietów, to albo nie łącz kierunków, albo użyj przełącznika, w którym podsłuchiwane kierunki są wolniejsze (np. 100 Mbit) niż port łączenia (np. 1 Gbit).
Więc jak przechwycić ruch sieciowy? Network Taps kontra Switch Ports Mirror
1- Łatwa konfiguracja: Sieć > Port Mirror
2- Wpływ na wydajność sieci: Network Tap < Port Mirror
3- Możliwość przechwytywania, replikacji, agregacji, przekazywania: Sieć > Port Mirror
4- Opóźnienie w przekazywaniu ruchu: Network Tap < Port Mirror
5- Pojemność wstępnego przetwarzania ruchu: Sieć > Port Mirror
Czas publikacji: 30-03-2022
