برای تجزیه و تحلیل ترافیک شبکه، لازم است بسته شبکه به NTOP/NPROBE یا ابزارهای نظارت و امنیت شبکه خارج از باند ارسال شود.دو راه حل برای این مشکل وجود دارد:
Port Mirroring(همچنین به عنوان SPAN شناخته می شود)
روی شبکه ضربه بزنید(همچنین با نام های Replication Tap، Aggregation Tap، Active Tap، Copper Tap، Ethernet Tap و غیره نیز شناخته می شود)
قبل از توضیح تفاوت بین دو راه حل (Port Mirror و Network Tap)، مهم است که بدانیم اترنت چگونه کار می کند.در 100 مگابیت و بالاتر، هاست ها معمولاً به صورت تمام دوبلکس صحبت می کنند، به این معنی که یک میزبان می تواند همزمان (Tx) و دریافت (Rx) را ارسال کند.این بدان معناست که در کابل 100 مگابیت متصل به یک هاست، مجموع ترافیک شبکه ای که یک میزبان می تواند ارسال/دریافت کند (Tx/Rx)) 2 × 100 مگابیت = 200 مگابیت است.
Port Mirroring یک بسته فعال است که به این معنی است که دستگاه شبکه از نظر فیزیکی مسئول کپی کردن بسته در پورت آینه شده است.
این بدان معناست که دستگاه باید این کار را با استفاده از برخی منابع (مانند CPU) انجام دهد و هر دو جهت ترافیک به یک پورت تکرار می شوند.همانطور که قبلا ذکر شد، در یک لینک کامل دوبلکس، این به این معنی است
الف - > ب و ب -> الف
مجموع A از سرعت شبکه قبل از از دست دادن بسته تجاوز نمی کند.این به این دلیل است که از نظر فیزیکی فضایی برای کپی کردن بسته ها وجود ندارد.به نظر می رسد که انعکاس پورت یک تکنیک عالی است زیرا می توان آن را توسط بسیاری از سوئیچ ها (اما نه همه) انجام داد، زیرا اکثر سوئیچ ها دارای اشکالی هستند که بسته ها را از دست می دهند، اگر پیوندی با بار بیش از 50٪ را رصد کنید یا آن را آینه کنید. پورتها را روی یک پورت سریعتر (به عنوان مثال درگاههای 100 مگابیت را روی یک پورت 1 گیگابیت بازتاب دهید).ناگفته نماند که انعکاس بسته ممکن است نیاز به تبادل منابع سوئیچ داشته باشد که ممکن است دستگاه را بارگیری کند و باعث کاهش عملکرد تبادل شود.توجه داشته باشید که می توانید 1 پورت را به یک پورت یا 1 VLAN را به یک پورت متصل کنید، اما معمولا نمی توانید بسیاری از پورت ها را به 1 کپی کنید.
یک شبکه TAP (نقطه دسترسی ترمینال)یک دستگاه سخت افزاری کاملاً غیرفعال است که می تواند به صورت غیرفعال ترافیک شبکه را ضبط کند.معمولاً برای نظارت بر ترافیک بین دو نقطه در شبکه استفاده می شود.اگر شبکه بین این دو نقطه از یک کابل فیزیکی تشکیل شده باشد، TAP شبکه ممکن است بهترین راه برای جذب ترافیک باشد.
شبکه TAP حداقل دارای سه پورت است: یک پورت A، یک پورت B و یک پورت مانیتور.برای قرار دادن یک شیر بین نقاط A و B، کابل شبکه بین نقطه A و نقطه B با یک جفت کابل جایگزین می شود که یکی به پورت A TAP و دیگری به درگاه B TAP می رود.TAP تمام ترافیک بین دو نقطه شبکه را منتقل می کند، بنابراین آنها همچنان به یکدیگر متصل هستند.TAP همچنین ترافیک را در پورت مانیتور خود کپی می کند، بنابراین دستگاه تجزیه و تحلیل را قادر می سازد تا گوش کند.
TAP های شبکه معمولاً توسط دستگاه های نظارت و جمع آوری مانند APS استفاده می شوند.TAP ها همچنین می توانند در برنامه های امنیتی مورد استفاده قرار گیرند زیرا غیر مزاحم هستند، در شبکه قابل شناسایی نیستند، می توانند با شبکه های تمام دوبلکس و غیر اشتراکی برخورد کنند و معمولاً از ترافیک عبور می کنند حتی اگر شیر از کار بیفتد یا برق قطع شود. .
از آنجایی که پورت های Network Taps دریافت نمی کنند، بلکه فقط ارسال می کنند، سوئیچ هیچ سرنخی ندارد که چه کسی پشت پورت ها نشسته است.نتیجه این است که بسته ها را به همه پورت ها پخش می کند.بنابراین، اگر دستگاه مانیتورینگ خود را به سوئیچ متصل کنید، چنین دستگاهی تمام بسته ها را دریافت می کند.توجه داشته باشید که اگر دستگاه مانیتورینگ هیچ بسته ای را به سوییچ ارسال نکند، این مکانیسم کار می کند.در غیر این صورت، سوئیچ فرض می کند که بسته های ضربه زده شده برای چنین دستگاهی نیستند.برای دستیابی به آن، می توانید از کابل شبکه ای استفاده کنید که سیم های TX را به آن وصل نکرده اید، یا از یک رابط شبکه بدون IP (و بدون DHCP) استفاده کنید که به هیچ وجه بسته ها را ارسال نمی کند.در نهایت توجه داشته باشید که اگر میخواهید از یک ضربه برای از دست ندادن بستهها استفاده کنید، یا جهتها را ادغام نکنید یا از سوئیچهایی استفاده کنید که در آن جهتهای ضربهگیری شده کندتر هستند (مثلاً 100 مگابیت) نسبت به پورت ادغام (مثلاً 1 گیگابیت).
بنابراین، چگونه ترافیک شبکه را ضبط کنیم؟شیرهای شبکه در مقابل آینه پورت سوئیچ
1- پیکربندی آسان: Network Tap > Port Mirror
2- Network Performance Influence: Network Tap < Port Mirror
3- قابلیت Capture، Replication، Aggregation، Forwarding: Network Tap > Port Mirror
4- Traffic Forwarding Latency: Network Tap < Port Mirror
5- ظرفیت پیش پردازش ترافیک: Network Tap > Port Mirror
زمان ارسال: مارس-30-2022
