Võrguliikluse analüüsimiseks on vaja saata võrgupakett NTOP/NPROBE või Out-of-band Network Security and Monitoring Toolsile.Sellele probleemile on kaks lahendust:
Sadama peegeldamine(tuntud ka kui SPAN)
Võrk Puudutage(tuntud ka kui replikatsioonikraan, koondamiskraan, aktiivne kraan, vaskkraan, Etherneti kraan jne)
Enne kahe lahenduse (Port Mirror ja Network Tap) erinevuste selgitamist on oluline mõista, kuidas Ethernet töötab.100 Mbit ja üle selle räägivad hostid tavaliselt täisdupleksis, mis tähendab, et üks host saab samaaegselt saata (Tx) ja vastu võtta (Rx).See tähendab, et ühe hostiga ühendatud 100 Mbit kaabli puhul on võrguliikluse kogumaht, mida üks host saab saata/vastu võtta (Tx/Rx)) 2 × 100 Mbit = 200 Mbit.
Pordi peegeldamine on aktiivne pakettide replikatsioon, mis tähendab, et võrguseade vastutab füüsiliselt paketi kopeerimise eest peegeldatud porti.
See tähendab, et seade peab seda ülesannet täitma mõnda ressurssi (nt CPU-d) kasutades ja mõlemad liiklussuunad kopeeritakse samasse porti.Nagu varem mainitud, tähendab see täieliku duplekslingi puhul seda
A -> B ja B -> A
A summa ei ületa võrgu kiirust enne paketi kadumist.Seda seetõttu, et pakettide kopeerimiseks pole füüsiliselt ruumi.Selgub, et pordi peegeldamine on suurepärane tehnika, kuna seda saavad teha paljud lülitid (kuid mitte kõik), kuna enamiku kommutaatorite puuduseks on paketikadu, kui jälgite linki, mille koormus on üle 50% või peegeldate pordid kiiremasse porti (nt peegeldavad 100 Mbit pordid 1 Gbit porti).Rääkimata sellest, et pakettide peegeldamine võib nõuda lülitite ressursside vahetamist, mis võib seadet koormata ja põhjustada vahetuse jõudluse halvenemist.Pange tähele, et saate ühendada 1 pordi ühe pordiga või 1 VLAN-i ühe pordiga, kuid üldiselt ei saa te palju porte 1-sse kopeerida. (Nii et paketipeegel on puudu).
Võrgu TAP (terminali pääsupunkt)on täielikult passiivne riistvaraseade, mis suudab võrguliiklust passiivselt hõivata.Seda kasutatakse tavaliselt kahe võrgupunkti vahelise liikluse jälgimiseks.Kui nende kahe punkti vaheline võrk koosneb füüsilisest kaablist, võib võrgu TAP olla parim viis liikluse hõivamiseks.
Võrgu TAP-il on vähemalt kolm porti: A-port, B-port ja monitori port.Kraani paigutamiseks punktide A ja B vahele asendatakse punkti A ja punkti B vaheline võrgukaabel kaablipaariga, millest üks läheb TAP-i A-porti, teine läheb TAP-i B-porti.TAP edastab kogu liikluse kahe võrgupunkti vahel, nii et need on endiselt üksteisega ühendatud.TAP kopeerib ka liikluse oma monitori porti, võimaldades seega analüüsiseadmel kuulata.
Võrgu TAP-e kasutavad tavaliselt seire- ja kogumisseadmed, näiteks APS.TAP-e saab kasutada ka turvarakendustes, kuna need ei ole pealetükkivad, ei ole võrgus tuvastatavad, saavad hakkama täisdupleks- ja mittejagatud võrkudega ning edastavad tavaliselt liiklust isegi siis, kui kraan lakkab töötamast või kaotab toite .
Kuna Network Tapsi pordid ei võta vastu, vaid ainult edastavad, pole lülitil õrna aimugi, kes istub pordide taga.Tulemuseks on see, et see edastab paketid kõikidesse portidesse.Seega, kui ühendate oma seireseadme lülitiga, võtab selline seade vastu kõik paketid.Pange tähele, et see mehhanism töötab, kui seireseade ei saada lülitile ühtegi paketti;vastasel juhul eeldab lüliti, et koputatud paketid pole sellise seadme jaoks.Selle saavutamiseks võite kasutada võrgukaablit, millele te pole TX-juhtmeid ühendanud, või IP-vaba (ja DHCP-ta) võrguliidest, mis ei edasta üldse pakette.Lõpuks pange tähele, et kui soovite pakettide mittekaotamiseks kasutada puudutust, siis ärge ühendage juhiseid või kasutage lülitit, kus koputatud juhised on aeglasemad (nt 100 Mbit) kui liitmisport (nt 1 Gbit).
Niisiis, kuidas püüda võrguliiklust?Võrgukraanid vs Switch Ports Mirror
1- Lihtne konfigureerimine: Network Toksake > Pordi peegel
2- Võrgu jõudluse mõju: võrk Puudutage < Pordi peegel
3- Jäädvustamine, replikatsioon, koondamine, edastamise võimalus: võrk Puudutage > Pordi peegel
4- Liikluse edastamise latentsus: võrk Puudutage < Pordi peegel
5- Liikluse eeltöötlusvõimsus: Võrk Puudutage > Port Mirror
Postitusaeg: 30. märts 2022
