Aby bylo možné analyzovat síťový provoz, je nutné odeslat síťový paket do NTOP/NPROBE nebo Out-of-band Network Security and Monitoring Tools.Existují dvě řešení tohoto problému:
Port Mirroring(také známý jako SPAN)
Klepněte na síť(také známé jako Replication Tap, Agregation Tap, Active Tap, Copper Tap, Ethernet Tap, atd.)
Před vysvětlením rozdílů mezi těmito dvěma řešeními (Port Mirror a Network Tap) je důležité pochopit, jak Ethernet funguje.Při rychlosti 100 Mbit a vyšší hostitelé obvykle mluví plně duplexně, což znamená, že jeden hostitel může odesílat (Tx) a přijímat (Rx) současně.To znamená, že na 100 Mbitovém kabelu připojeném k jednomu hostiteli je celkový objem síťového provozu, který může jeden hostitel odesílat/přijímat (Tx/Rx)) 2 × 100 Mbit = 200 Mbit.
Zrcadlení portů je aktivní replikace paketů, což znamená, že síťové zařízení je fyzicky zodpovědné za zkopírování paketu na zrcadlený port.
To znamená, že zařízení musí provést tento úkol pomocí nějakého zdroje (například CPU) a oba směry provozu budou replikovány na stejný port.Jak již bylo zmíněno dříve, v plně duplexním spojení to znamená, že
A -> B a B -> A
Součet A nepřekročí rychlost sítě před ztrátou paketů.Je to proto, že fyzicky není prostor pro kopírování paketů.Ukazuje se, že zrcadlení portů je skvělá technika, protože ji může provádět mnoho přepínačů (ale ne všechny), protože většina přepínačů má nevýhodu ztráty paketů, pokud monitorujete spojení s více než 50% zatížením nebo zrcadlíte porty na rychlejší port (např. zrcadlení 100 Mbit portů na 1 Gbit port).Nemluvě o tom, že zrcadlení paketů může vyžadovat výměnu prostředků přepínačů, což může zatížit zařízení a způsobit snížení výkonu výměny.Všimněte si, že můžete připojit 1 port k jednomu portu nebo 1 VLAN k jednomu portu, ale obecně nemůžete zkopírovat mnoho portů do 1. (Tak jako zrcadlení paketů) chybí.
Síťový TAP (koncový přístupový bod)je plně pasivní hardwarové zařízení, které dokáže pasivně zachytit provoz v síti.Běžně se používá k monitorování provozu mezi dvěma body v síti.Pokud se síť mezi těmito dvěma body skládá z fyzického kabelu, síťový TAP může být nejlepším způsobem zachycení provozu.
Síťový TAP má alespoň tři porty: port A, port B a port monitoru.Chcete-li umístit odbočku mezi body A a B, je síťový kabel mezi bodem A a bodem B nahrazen párem kabelů, z nichž jeden směřuje do portu A TAP a druhý do portu B TAP.TAP předává veškerý provoz mezi dvěma body sítě, takže jsou stále vzájemně propojeny.TAP také zkopíruje provoz na svůj monitorovací port, čímž umožní analytickému zařízení naslouchat.
Síťové TAP běžně používají monitorovací a sběrná zařízení, jako je APS.TAP lze také použít v bezpečnostních aplikacích, protože nejsou rušivé, nejsou detekovatelné v síti, dokážou si poradit s plně duplexními a nesdílenými sítěmi a obvykle projdou provozem, i když kohoutek přestane fungovat nebo ztratí napájení. .
Protože porty Network Taps nepřijímají, ale pouze vysílají, přepínač nemá ponětí, kdo sedí za porty.Důsledkem je, že vysílá pakety na všechny porty.Pokud tedy připojíte své monitorovací zařízení k přepínači, takové zařízení bude přijímat všechny pakety.Všimněte si, že tento mechanismus funguje, pokud monitorovací zařízení nepošle žádný paket do přepínače;jinak bude přepínač předpokládat, že odposlouchávané pakety nejsou pro takové zařízení.Abyste toho dosáhli, můžete buď použít síťový kabel, ke kterému jste nepřipojili TX dráty, nebo použít síťové rozhraní bez IP (a bez DHCP), které pakety vůbec nepřenáší.Nakonec si všimněte, že pokud chcete použít tap pro neztrácení paketů, pak buď neslučujte směry, nebo použijte přepínač, kde jsou odposlouchávané směry pomalejší (např. 100 Mbit) než slučovací port (např. 1 Gbit).
Jak tedy zachytit síťový provoz?Síťové odbočky vs zrcadlení přepínacích portů
1- Snadná konfigurace: Klepněte na Network > Port Mirror
2- Vliv na výkon sítě: Klepněte na síť < Port Mirror
3- Schopnost zachycení, replikace, agregace, předávání: Klepněte na síť > Zrcadlo portu
4- Latence předávání provozu: Klepněte na síť < Port Mirror
5- Kapacita předběžného zpracování provozu: Klepněte na Síť > Zrcadlo portu
Čas odeslání: 30. března 2022
