Aby przeanalizować ruch sieciowy, konieczne jest wysłanie pakietu sieciowego do NTOP/NPROBE lub Out-of-band Network Security and Monitoring Tools. Istnieją dwa rozwiązania tego problemu:
Dublowanie portów(znany również jako SPAN)
Dotknij sieci(znany również jako Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap itp.)
Zanim wyjaśnimy różnice między tymi dwoma rozwiązaniami (Port Mirror i Network Tap), ważne jest zrozumienie, jak działa Ethernet. Przy przepustowości 100 Mb/s i wyższej hosty zazwyczaj komunikują się w trybie pełnego dupleksu, co oznacza, że jeden host może jednocześnie wysyłać (Tx) i odbierać (Rx). Oznacza to, że w kablu 100 Mb/s podłączonym do jednego hosta, łączna ilość ruchu sieciowego, jaką jeden host może wysłać/odbrać (Tx/Rx), wynosi 2 × 100 Mb/s = 200 Mb/s.
Dublowanie portów to aktywna replikacja pakietów, co oznacza, że urządzenie sieciowe jest fizycznie odpowiedzialne za kopiowanie pakietu do dublowanego portu.
Oznacza to, że urządzenie musi wykonać to zadanie, wykorzystując pewne zasoby (takie jak procesor), a oba kierunki ruchu będą replikowane do tego samego portu. Jak wspomniano wcześniej, w przypadku łącza pełnodupleksowego oznacza to, że
A -> B i B -> A
Suma A nie przekroczy prędkości sieci, zanim nastąpi utrata pakietów. Dzieje się tak, ponieważ fizycznie nie ma miejsca na kopiowanie pakietów. Okazuje się, że dublowanie portów to świetna technika, ponieważ może być stosowane przez wiele przełączników (ale nie wszystkie), ponieważ większość przełączników ma wadę utraty pakietów, jeśli monitorujesz łącze o obciążeniu ponad 50% lub dublujesz porty na szybszy port (np. dublujesz porty 100 Mbit na port 1 Gbit). Nie wspominając o tym, że dublowanie pakietów może wymagać wymiany zasobów przełączników, co może obciążyć urządzenie i spowodować spadek wydajności wymiany. Należy pamiętać, że można podłączyć 1 port do jednego portu lub 1 sieć VLAN do jednego portu, ale generalnie nie można kopiować wielu portów do 1. (W związku z tym brakuje dublowania pakietów).
Punkt dostępu do sieci (TAP)to w pełni pasywne urządzenie sprzętowe, które może pasywnie przechwytywać ruch w sieci. Jest powszechnie używane do monitorowania ruchu między dwoma punktami w sieci. Jeśli sieć między tymi dwoma punktami składa się z fizycznego kabla, TAP sieciowy może być najlepszym sposobem przechwytywania ruchu.
Punkt dostępowy sieci TAP ma co najmniej trzy porty: port A, port B i port monitora. Aby umieścić punkt dostępowy między punktami A i B, kabel sieciowy między nimi zastępuje się parą kabli, z których jeden biegnie do portu A punktu dostępowego, a drugi do portu B punktu dostępowego. Punkt dostępowy TAP przekazuje cały ruch między dwoma punktami sieciowymi, dzięki czemu nadal są one ze sobą połączone. Punkt dostępowy TAP kopiuje również ruch do portu monitora, umożliwiając w ten sposób nasłuchiwanie przez urządzenie analityczne.
Sieciowe punkty dostępowe TAP są powszechnie używane przez urządzenia monitorujące i zbierające dane, takie jak APS. Punkty dostępowe TAP mogą być również wykorzystywane w aplikacjach bezpieczeństwa, ponieważ są dyskretne, niewykrywalne w sieci, obsługują tryb pełnego dupleksu i sieci niewspółdzielone oraz zazwyczaj przekazują ruch nawet w przypadku awarii lub utraty zasilania.
Ponieważ porty Network Tap nie odbierają, lecz jedynie nadają, przełącznik nie ma pojęcia, kto znajduje się za portami. W konsekwencji rozgłasza pakiety do wszystkich portów. Dlatego też, jeśli podłączysz urządzenie monitorujące do przełącznika, takie urządzenie odbierze wszystkie pakiety. Należy pamiętać, że ten mechanizm działa, jeśli urządzenie monitorujące nie wysyła żadnych pakietów do przełącznika; w przeciwnym razie przełącznik założy, że podsłuchiwane pakiety nie są przeznaczone dla takiego urządzenia. Aby to osiągnąć, możesz użyć kabla sieciowego, do którego nie podłączyłeś przewodów TX, lub użyć interfejsu sieciowego bez protokołu IP (i DHCP), który w ogóle nie przesyła pakietów. Na koniec należy zauważyć, że jeśli chcesz użyć podsłuchu, aby nie tracić pakietów, to albo nie łącz kierunków, albo użyj przełącznika, w którym podsłuchiwane kierunki są wolniejsze (np. 100 Mbit) niż port łączenia (np. 1 Gbit).
Jak przechwytywać ruch sieciowy? Network Tapy a Mirroring Portów Przełącznika
1- Łatwa konfiguracja: Sieć > Port Mirror
2- Wpływ na wydajność sieci: Network Tap < Port Mirror
3- Możliwość przechwytywania, replikacji, agregacji i przekazywania: Sieć > Port Mirror
4- Opóźnienie w przekazywaniu ruchu: Odczep sieciowy < Port Mirror
5- Pojemność wstępnego przetwarzania ruchu: Sieć > Port Mirror
Czas publikacji: 30 marca 2022 r.
