Aby przeanalizować ruch sieciowy, konieczne jest wysłanie pakietu sieciowego do NTOP/NPROBE lub narzędzi bezpieczeństwa i monitorowania sieci poza pasmem. Istnieją dwa rozwiązania tego problemu:
Lustrzanie portu(Znany również jako rozpiętość)
Tap sieciowy(Znany również jako stukanie replikacji, dotknięcie agregacji, aktywne dotknięcie, dotknięcie miedzi, dotknięcie Ethernet itp.)
Przed wyjaśnieniem różnic między dwoma rozwiązaniami (Port Mirror i Network Tap) ważne jest, aby zrozumieć, jak działa Ethernet. Przy 100mbit i nowszym hosta zwykle mówią w pełnym dupleksie, co oznacza, że jeden host może wysyłać (TX) i odbierać (Rx) jednocześnie. Oznacza to, że na kablu 100 mbit podłączonym do jednego hosta łączna ilość ruchu sieciowego, który jeden host może wysłać/odbierać (TX/RX)) wynosi 2 × 100 mbit = 200 mbit.
Port Mirroring jest aktywną replikacją pakietu, co oznacza, że urządzenie sieciowe jest fizycznie odpowiedzialne za kopiowanie pakietu do lustrzanego portu.
Oznacza to, że urządzenie musi wykonać to zadanie, używając niektórych zasobów (takich jak procesor), a oba wskazówki ruchu zostaną powtórzone do tego samego portu. Jak wspomniano wcześniej, w pełnym linku dupleksowym oznacza to
A -> b i b -> a
Suma A nie przekroczy prędkości sieci przed wystąpieniem utraty pakietu. Wynika to z faktu, że fizycznie nie ma miejsca do kopiowania pakietów. Okazuje się, że lustrzanie portowe jest świetną techniką, ponieważ może być wykonywana przez wiele przełączników (ale nie wszystkich), ponieważ większość przełączników z wadą utraty pakietu, jeśli monitorujesz link z ponad 50% obciążeniem lub odzwierciedlają porty do szybszego portu (np. Mirror 100 mbit portów na 1 gbit). Nie wspominając o tym, że lustrzanie pakietów może wymagać wymiany zasobów przełączników, które mogą załadować urządzenie i spowodować degradację wydajności wymiany. Pamiętaj, że możesz podłączyć 1 port do jednego portu lub 1 VLAN do jednego portu, ale ogólnie nie można skopiować wielu portów do 1. (Więc jako lustro pakietu) brakuje.
Sieć sieciowa (punkt dostępu terminali)jest w pełni pasywnym urządzeniem sprzętowym, które może pasywnie przechwytywać ruch w sieci. Jest powszechnie używany do monitorowania ruchu między dwoma punktami w sieci. Jeśli sieć między tymi dwoma punktami składa się z fizycznego kabla, dotknięcie sieci może być najlepszym sposobem na przechwytywanie ruchu.
Sieć sieciowa ma co najmniej trzy porty: port A, port B i port monitorowy. Aby umieścić kran między punktami A i B, kabel sieciowy między punktem A i punktem B jest zastąpiony parą kabli, jeden przechodzi do portu, a drugi do portu B TAP. Skutka przechodzi cały ruch między dwoma punktami sieciowymi, więc nadal są ze sobą podłączone. Stuknij również kopiuje ruch do portu monitorującego, umożliwiając w ten sposób słuchanie urządzenia analitycznego.
Kartki sieciowe są powszechnie używane przez urządzenia monitorujące i kolekcyjne, takie jak APS. Kartki mogą być również używane w aplikacjach bezpieczeństwa, ponieważ nie są one nieobjęte, nie są wykrywalne w sieci, mogą radzić sobie z sieciami pełnego dupleksu i nie udarowego, i zwykle przechodzą ruch, nawet jeśli kran zatrzymuje działanie lub traci moc.
Ponieważ porty sieciowe nie odbierają, ale tylko transmitują, przełącznik nie ma pojęcia, który siedzi za portem. Konsekwencją jest to, że transmituje pakiety do wszystkich portów. Dlatego jeśli podłączysz urządzenie monitorujące do przełącznika, takie urządzenie odbędzie wszystkie pakiety. Zauważ, że ten mechanizm działa, jeśli urządzenie monitorujące nie wysyła żadnego pakietu do przełącznika; W przeciwnym razie przełącznik zakłada, że pakiety stukane nie są dla takiego urządzenia. Aby to osiągnąć, możesz użyć kabla sieciowego, na którym nie podłączyłeś przewodów TX, lub użyć interfejsu sieciowego bez adresu IP (i DHCP), który w ogóle nie przesyła pakietów. Na koniec pamiętaj, że jeśli chcesz użyć dotknięcia, aby nie tracić pakietów, albo nie scalaj kierunków, albo użyj przełącznika, w którym kierunki stuknięte są wolniejsze (np. 100 mbit), że port scalania (np. 1 GBIT).
Jak więc przechwytywać ruch sieciowy? Kartki sieciowe vs porty przełącznika lustro
1- łatwa konfiguracja: Sieć Tap> Mirror portu
2- Wpływ wydajności sieci: Sieć Tap <Port Mirror
3- Przechwytywanie, replikacja, agregacja, zdolność do przekazywania: Sieć Tap> Port Mirror
4- Opóźnienie przekazywania ruchu: Tap Network Tap <Port Mirror
5- Pojemność wstępnego przetwarzania ruchu: Tap Network Tap> Port Mirror
Czas po: 30-30-2022
