For å analysere nettverkstrafikken er det nødvendig å sende nettverkspakken til NTOP/NPROBE eller Out-of-band Network Security and Monitoring Tools.Det er to løsninger på dette problemet:
Portspeiling(også kjent som SPAN)
Nettverk Trykk(også kjent som replikeringstapp, aggregasjonstrykk, aktivt trykk, kobbertap, Ethernet-tap, etc.)
Før du forklarer forskjellene mellom de to løsningene (Port Mirror og Network Tap), er det viktig å forstå hvordan Ethernet fungerer.Ved 100 Mbit og over snakker verter vanligvis i full dupleks, noe som betyr at én vert kan sende(Tx) og motta(Rx) samtidig.Dette betyr at på en 100 Mbit kabel koblet til én vert, er den totale mengden nettverkstrafikk som en vert kan sende/motta(Tx/Rx)) 2 × 100 Mbit = 200 Mbit.
Portspeiling er aktiv pakkereplikering, som betyr at nettverksenheten er fysisk ansvarlig for å kopiere pakken til den speilvendte porten.
Dette betyr at enheten må utføre denne oppgaven ved å bruke en eller annen ressurs (som CPU), og begge trafikkretningene vil bli replikert til samme port.Som nevnt tidligere, i A full duplex link, betyr dette at
A - > B og B -> A
Summen av A vil ikke overstige nettverkshastigheten før pakketap oppstår.Dette er fordi det fysisk ikke er plass til å kopiere pakker.Det viser seg at portspeiling er en flott teknikk ettersom den kan utføres av mange svitsjer (men ikke alle), fordi de fleste av svitsjene med ulempen med pakketap, hvis du overvåker en kobling med over 50 % belastning, eller speiler porter til en raskere port (f.eks. speile 100 Mbit-porter til en 1 Gbit-port).For ikke å nevne at pakkespeiling kan kreve utveksling av bryterressurser, noe som kan belaste enheten og føre til at utvekslingsytelsen forringes.Merk at du kan koble 1 port til en port, eller 1 VLAN til en port, men du kan vanligvis ikke kopiere mange porter til 1. (Så som pakkespeilet) mangler.
Et nettverk TAP (terminaltilgangspunkt)er en helpassiv maskinvareenhet, som passivt kan fange opp trafikk på et nettverk.Det brukes ofte til å overvåke trafikken mellom to punkter i nettverket.Hvis nettverket mellom disse to punktene består av en fysisk kabel, kan en nettverks-TAP være den beste måten å fange opp trafikk.
Nettverks-TAP har minst tre porter: en A-port, en B-port og en monitorport.For å plassere en kran mellom punkt A og B, erstattes nettverkskabelen mellom punkt A og punkt B med et par kabler, en går til TAPs A-port, den andre går til TAPs B-port.TAP sender all trafikk mellom de to nettverkspunktene, slik at de fortsatt er koblet til hverandre.TAP-en kopierer også trafikken til monitorporten, slik at en analyseenhet kan lytte.
Nettverks-TAP-er brukes ofte av overvåkings- og innsamlingsenheter som APS.TAP-er kan også brukes i sikkerhetsapplikasjoner fordi de er ikke-påtrengende, ikke kan oppdages på nettverket, kan håndtere full-dupleks og ikke-delte nettverk, og vil vanligvis sende gjennom trafikk selv om kranen slutter å fungere eller mister strøm .
Siden Network Taps-porter ikke mottar, men bare sender, har bryteren ingen anelse om hvem som sitter bak portene.Konsekvensen er at den kringkaster pakkene til alle porter.Derfor, hvis du kobler overvåkingsenheten til bryteren, vil en slik enhet motta alle pakker.Merk at denne mekanismen fungerer hvis overvåkingsenheten ikke sender noen pakke til bryteren;ellers vil bryteren anta at de avlyttede pakkene ikke er for en slik enhet.For å oppnå det kan du enten bruke en nettverkskabel som du ikke har koblet TX-ledningene til, eller bruke et IP-løst (og DHCP-løst) nettverksgrensesnitt som ikke overfører pakker i det hele tatt.Merk til slutt at hvis du ønsker å bruke et trykk for ikke å miste pakker, så enten ikke slå sammen retninger eller bruk en svitsj der de tappede retningene er tregere (f.eks. 100 Mbit) enn sammenslåingsporten (f.eks. 1 Gbit).
Så, hvordan fange nettverkstrafikk?Network Taps vs Switch Ports Mirror
1- Enkel konfigurasjon: Nettverk Trykk på > Portspeil
2- Nettverksytelsespåvirkning: Nettverk Trykk på < Portspeil
3- Fange, replikering, aggregering, videresendingsevne: Nettverk Trykk på > Portspeil
4- Trafikkvideresendingsforsinkelse: Nettverk Trykk på < Portspeil
5- Trafikkforbehandlingskapasitet: Nettverk Trykk på > Portspeil
Innleggstid: 30. mars 2022
