Nola harrapatu sareko trafikoa?Sarea Tap vs Port Mirror

Sareko trafikoa aztertzeko, beharrezkoa da sare-paketea NTOP/NPROBE edo Bandaz kanpoko sareko segurtasun eta monitorizazio tresnetara bidaltzea.Arazo honen aurrean bi irtenbide daude:

Portuko ispilua(SPAN izenaz ere ezaguna)

Sarea Sakatu(Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etab. izenez ere ezagutzen da)

Bi soluzioen arteko desberdintasunak (Port Mirror eta Network Tap) azaldu aurretik, garrantzitsua da Ethernet-ek nola funtzionatzen duen ulertzea.100 Mbit-ean eta gorago, ostalariek normalean duplex integralean hitz egiten dute, hau da, ostalari batek bidal dezake (Tx) eta jaso (Rx) aldi berean.Horrek esan nahi du ostalari batera konektatutako 100 Mbit kable batean, ostalari batek bidali/jaso dezakeen sareko trafikoaren guztizkoa (Tx/Rx)) 2 × 100 Mbit = 200 Mbit dela.

Portuaren islatzea paketeen erreplikazio aktiboa da, hau da, sareko gailua fisikoki arduratzen da paketea ispiluko atakan kopiatzeaz.

sareko switch ataka ispilua

Horrek esan nahi du gailuak zeregin hori egin behar duela baliabideren bat erabiliz (adibidez, CPUa), eta bi trafiko noranzkoak ataka berean errepikatuko dira.Lehen aipatu bezala, A full duplex link-en, horrek esan nahi du

A -> B eta B -> A

A-ren baturak ez du sareko abiadura gaindituko paketeak galtzea gertatu aurretik.Hau da fisikoki ez dagoelako paketeak kopiatzeko lekurik.Portuen islatzea teknika bikaina da, etengailu askok (baina ez guztiek) egin dezaketelako, etengailu gehienak paketeen galeraren eragozpena dutelako, %50eko karga baino gehiago duen esteka kontrolatzen baduzu edo ispilu. atakak ataka azkarrago batera (adibidez, ispilu 100 Mbit-eko atakak 1 Gbit-eko ataka batean).Zer esanik ez paketeen ispiluak etengailu-baliabideak trukatu behar dituela, eta horrek gailua kargatu eta truke-errendimendua hondatzea eragin dezake.Kontuan izan 1 ataka ataka batera konekta ditzakezula edo 1 VLAN portu batera, baina, oro har, ezin dituzula portu asko kopiatu 1era. (Beraz, paketeen ispilua falta da).

Sareko TAP (Terminal Access Point)guztiz pasiboa den hardware-gailu bat da, sare bateko trafikoa modu pasiboan harrapatzen duena.Sareko bi punturen arteko trafikoa kontrolatzeko erabiltzen da.Bi puntu hauen arteko sarea kable fisiko batez osatuta badago, sareko TAP bat izan daiteke trafikoa harrapatzeko modurik onena.

Sare TAPek hiru ataka ditu gutxienez: A ataka, B ataka eta monitore portu bat.A eta B puntuen artean txorrota bat jartzeko, A puntuaren eta B puntuaren arteko sare-kablea kable pare batekin ordezkatzen da, bata TAPeko A atakara doa, eta bestea TAPeko B atakara.TAPek bi sareko puntuen arteko trafiko guztia pasatzen du, beraz, elkarren artean konektatuta daude oraindik.TAPek trafikoa bere monitorearen atakan kopiatzen du, horrela analisi-gailu batek entzuteko aukera ematen du.

Sareko TAPak APS bezalako monitorizazio eta bilketa gailuek erabiltzen dituzte normalean.TAPak segurtasun-aplikazioetan ere erabil daitezke, ez direlako eragozpenik egiten, sarean detektatzen ez direlako, full-duplex eta partekatu gabeko sareei aurre egin diezaieketelako eta normalean trafikoa igaroko da txorrotak funtzionatzeari utzi edo energia galtzen badu ere. .

sareko ukipenen agregazioa

Network Taps atakek jasotzen ez dutenez, baizik eta soilik transmititzen dutenez, etengailuak ez du arrastorik nor dagoen portuen atzean eserita.Ondorioa paketeak portu guztietara igortzen dituela da.Hori dela eta, zure monitorizazio gailua etengailura konektatzen baduzu, gailu horrek pakete guztiak jasoko ditu.Kontuan izan mekanismo honek funtzionatzen duela monitorizazio-gailuak etengailura paketerik bidaltzen ez badu;bestela, etengailuak hartuko du ukitutako paketeak ez direla gailu horretarako.Hori lortzeko, TX hariak konektatu ez dituzun sareko kable bat erabil dezakezu, edo paketerik transmititzen ez duen IPrik gabeko (eta DHCPrik gabeko) sareko interfaze bat erabil dezakezu.Azkenik, kontuan izan ukitu bat erabili nahi baduzu paketeak ez galtzeko, ez bateratu norabideak edo erabili etengailu bat non sakatutako norabideak motelagoak diren (adibidez 100 Mbit) bateratze ataka baino (adib. 1 Gbit).

sareko ukipenaren erreplikazioa

Beraz, nola atzeman sareko trafikoa?Network Taps vs Switch Ports Mirror

1- Konfigurazio erraza: Sarea Sakatu > Portuaren ispilua

2- Sarearen errendimenduaren eragina: sarea sakatu < Portuaren ispilua

3- Harrapatzea, Erreplikatzea, Agregatzea, Birbidaltzeko gaitasuna: Sarea ukitu > Portuaren ispilua

4- Trafikoa birbidaltzeko latentzia: Sarea ukitu < Portuaren ispilua

5- Trafikoa Aurreprozesatzeko Ahalmena: Sarea Sakatu > Portuaren Ispilua

sareko txorrotak vs portuen ispilua


Argitalpenaren ordua: 2022-03-30