A hálózati forgalom elemzéséhez el kell küldeni a hálózati csomagot az NTOP/NPROBE vagy az Out-of-band Network Security and Monitoring Tools szolgáltatásnak. Erre a problémára két megoldás létezik:
Port tükrözés(más néven SPAN)
Hálózati érintés(más néven replikációs kivezetés, aggregációs kivezetés, aktív kivezetés, rézkivezetés, Ethernet kivezetés stb.)
Mielőtt elmagyaráznánk a két megoldás (Port Mirror és Network Tap) közötti különbségeket, fontos megérteni, hogyan működik az Ethernet. 100 Mbit és afeletti sebességnél az állomások általában teljes duplex módban kommunikálnak, ami azt jelenti, hogy egy állomás egyszerre tud küldeni (Tx) és fogadni (Rx). Ez azt jelenti, hogy egy 100 Mbit-es kábelen, amely egy állomáshoz csatlakozik, a hálózati forgalom teljes mennyisége, amelyet egy állomás küldhet/fogadhat (Tx/Rx)), 2 × 100 Mbit = 200 Mbit.
A porttükrözés aktív csomagreplikáció, ami azt jelenti, hogy a hálózati eszköz fizikailag felelős a csomag tükrözött portra másolásáért.
Ez azt jelenti, hogy az eszköznek valamilyen erőforrás (például a CPU) felhasználásával kell elvégeznie ezt a feladatot, és mindkét forgalmi irány ugyanarra a portra replikálódik. Ahogy korábban említettük, egy teljes duplex kapcsolatnál ez azt jelenti, hogy
A -> B és B -> A
Az A összege nem fogja meghaladni a hálózati sebességet a csomagvesztés bekövetkezte előtt. Ez azért van, mert fizikailag nincs hely a csomagok másolására. Kiderült, hogy a porttükrözés egy nagyszerű technika, mivel sok switch (de nem mindegyik) elvégezheti, mivel a legtöbb switchnek az a hátránya, hogy elveszíti a csomagokat, ha egy 50%-nál nagyobb terhelésű kapcsolatot figyelünk, vagy a portokat egy gyorsabb portra tükrözzük (pl. 100 Mbites portokat tükrözünk egy 1 Gbites portra). Nem is beszélve arról, hogy a csomagtükrözéshez szükség lehet a switchek erőforrásainak cseréjére, ami terhelheti az eszközt és ronthatja az adatcsere teljesítményét. Vegye figyelembe, hogy 1 portot csatlakoztathat egy porthoz, vagy 1 VLAN-t egy porthoz, de általában nem másolhat sok portot egyetlen portra. (Tehát a csomagtükrözés hiányzik.)
Hálózati TAP (terminál hozzáférési pont)egy teljesen passzív hardvereszköz, amely passzívan képes rögzíteni a forgalmat a hálózaton. Általában a hálózat két pontja közötti forgalom monitorozására használják. Ha a két pont közötti hálózat fizikai kábelből áll, akkor a hálózati TAP lehet a legjobb módja a forgalom rögzítésének.
A hálózati TAP legalább három porttal rendelkezik: egy A porttal, egy B porttal és egy monitor porttal. Az A és B pontok közötti leágazás elhelyezéséhez az A és B pont közötti hálózati kábelt egy kábelpárral kell helyettesíteni, az egyik a TAP A portjához, a másik a TAP B portjához megy. A TAP az összes forgalmat továbbítja a két hálózati pont között, így azok továbbra is össze vannak kötve egymással. A TAP a forgalmat a monitor portjára is átmásolja, így lehetővé teszi az elemzőeszköz számára a figyelést.
A hálózati TAP-okat gyakran használják monitorozó és adatgyűjtő eszközök, például az APS. A TAP-ok biztonsági alkalmazásokban is használhatók, mivel nem feltűnőek, nem észlelhetők a hálózaton, képesek kezelni a full-duplex és a nem megosztott hálózatokat, és általában akkor is átengedik a forgalmat, ha a leágazás nem működik vagy áramszünet van.
Mivel a Network Taps portok nem fogadnak, csak küldenek, a switchnek fogalma sincs, hogy ki áll a portok mögött. Ennek az a következménye, hogy a csomagokat minden portra szórja. Ezért, ha a switchhez csatlakoztatod a megfigyelő eszközödet, az az eszköz minden csomagot fogadni fog. Fontos megjegyezni, hogy ez a mechanizmus akkor működik, ha a megfigyelő eszköz nem küld csomagot a switchnek; ellenkező esetben a switch azt feltételezi, hogy a lehallgatott csomagok nem az adott eszköznek szólnak. Ennek eléréséhez használhatsz olyan hálózati kábelt, amelyre nem csatlakoztattad a TX vezetékeket, vagy használhatsz egy IP-mentes (és DHCP-mentes) hálózati interfészt, amely egyáltalán nem továbbít csomagokat. Végül, ha a csomagok elvesztésének elkerülése érdekében lehallgatást szeretnél használni, akkor vagy ne merge irányokat, vagy olyan switchet használj, ahol a lehallgatott irányok lassabbak (pl. 100 Mbit), mint az merge port (pl. 1 Gbit).
Szóval, hogyan rögzítsük a hálózati forgalmat? Hálózati csapok vs. Switch Ports Mirror
1- Egyszerű konfiguráció: Hálózat > Porttükrözés
2- Hálózati teljesítmény hatása: Hálózati érintés < Porttükrözés
3- Rögzítés, replikáció, összesítés, továbbítási képesség: Hálózati érintés > Porttükrözés
4- Forgalomtovábbítási késleltetés: Network Tap < Port Mirror
5- Forgalom-előfeldolgozási kapacitás: Hálózati érintés > Porttükrözés
Közzététel ideje: 2022. márc. 30.
