A hálózati forgalom elemzéséhez el kell küldeni a hálózati csomagot az NTOP/NPROBE vagy Out-of-band Network Security and Monitoring Tools-nak. A problémára két megoldás létezik:
Port tükrözés(más néven SPAN)
Hálózat Érintse meg(más néven Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap stb.)
Mielőtt elmagyarázná a két megoldás (Port Mirror és Network Tap) közötti különbségeket, fontos megérteni az Ethernet működését. 100 Mbit-nél és nagyobb sebességnél a gazdagépek általában teljes duplexben beszélnek, ami azt jelenti, hogy egy gazdagép egyszerre küldhet (Tx) és fogadhat (Rx). Ez azt jelenti, hogy egy 100 Mbit-es kábelen, amely egy gazdagéphez van csatlakoztatva, a teljes hálózati forgalom mennyisége, amelyet egy gazdagép küldhet/fogadhat (Tx/Rx)) 2 × 100 Mbit = 200 Mbit.
A porttükrözés aktív csomagreplikáció, ami azt jelenti, hogy a hálózati eszköz fizikailag felelős a csomag tükrözött portra másolásáért.
Ez azt jelenti, hogy az eszköznek ezt a feladatot valamilyen erőforrás (például CPU) használatával kell végrehajtania, és mindkét forgalmi irány ugyanarra a portra replikálódik. Ahogy korábban említettük, a teljes duplex kapcsolatnál ez azt jelenti
A -> B és B -> A
Az A összege nem haladja meg a hálózati sebességet a csomagvesztés előtt. Ennek az az oka, hogy fizikailag nincs hely a csomagok másolására. Kiderült, hogy a porttükrözés egy nagyszerű technika, mivel sok kapcsolóval (de nem mindegyikkel) meg lehet valósítani, mivel a legtöbb kapcsoló esetében a csomagvesztés hátránya van, ha 50% feletti terhelésű linket figyelünk, vagy tükrözik a portokat egy gyorsabb portra (pl. tükrözi a 100 Mbit-es portokat egy 1 Gbit-es portra). Arról nem is beszélve, hogy a csomagtükrözéshez szükség lehet a kapcsolók erőforrásainak cseréjére, ami terhelheti az eszközt és az adatcsere teljesítményének romlását okozhatja. Vegye figyelembe, hogy csatlakoztathat 1 portot egy porthoz, vagy 1 VLAN-t egy porthoz, de általában nem másolhat sok portot 1-re. (Tehát a csomagtükör hiányzik).
Hálózati TAP (Terminal Access Point)egy teljesen passzív hardvereszköz, amely képes passzívan rögzíteni a hálózaton folyó forgalmat. Általában a hálózat két pontja közötti forgalom figyelésére használják. Ha a két pont közötti hálózat fizikai kábelből áll, a hálózati TAP lehet a legjobb módja a forgalom rögzítésének.
A hálózati TAP-nak legalább három portja van: egy A port, egy B port és egy monitor port. Ahhoz, hogy egy csapot helyezzen el az A és B pontok között, az A és B pont közötti hálózati kábelt ki kell cserélni egy pár kábelre, az egyik a TAP A portjához, a másik pedig a TAP B portjához megy. A TAP minden forgalmat továbbít a két hálózati pont között, így továbbra is kapcsolatban vannak egymással. A TAP a forgalmat a monitor portjára is másolja, így lehetővé teszi az elemző eszköz számára, hogy figyeljen.
A hálózati TAP-okat általában megfigyelő és adatgyűjtő eszközök, például az APS használják. A TAP-ok biztonsági alkalmazásokban is használhatók, mivel nem feltűnőek, nem észlelhetők a hálózaton, képesek kezelni a full-duplex és nem megosztott hálózatokat, és általában akkor is továbbítják a forgalmat, ha a csap leáll, vagy áramszünet. .
Mivel a Network Taps portok nem fogadnak, hanem csak továbbítanak, a switchnek fogalma sincs, ki ül a portok mögött. Ennek az a következménye, hogy a csomagokat minden portra sugározza. Ezért, ha a felügyeleti eszközt a kapcsolóhoz csatlakoztatja, az összes csomagot megkapja. Vegye figyelembe, hogy ez a mechanizmus akkor működik, ha a megfigyelő eszköz nem küld csomagot a kapcsolónak; ellenkező esetben a kapcsoló azt feltételezi, hogy a lehallgatott csomagok nem ilyen eszközhöz valók. Ennek elérése érdekében vagy olyan hálózati kábelt használhat, amelyre nem csatlakoztatta a TX vezetékeket, vagy használhat egy IP nélküli (és DHCP nélküli) hálózati interfészt, amely egyáltalán nem továbbít csomagokat. Végül vegye figyelembe, hogy ha egy érintést szeretne használni a csomagok elvesztésének elkerülésére, akkor ne egyesítse az irányokat, vagy használjon olyan kapcsolót, ahol a megérintett irányok lassabbak (pl. 100 Mbit), mint az egyesítő port (pl. 1 Gbit).
Szóval, hogyan lehet rögzíteni a hálózati forgalmat? Hálózati érintések vs kapcsoló portok tükörképe
1- Egyszerű konfiguráció: Hálózat Érintse meg a > Port Mirror elemet
2- Hálózati teljesítmény befolyásolása: Hálózat Érintse meg a < Port Mirror elemet
3- Rögzítés, replikáció, összesítés, továbbítási képesség: Hálózat Érintse meg a > Port Mirror elemet
4- Forgalom továbbítási késleltetés: Hálózat Érintse meg a < Port Mirror elemet
5- Forgalom előfeldolgozási kapacitása: Hálózat Érintse meg a > Port Mirror elemet
Feladás időpontja: 2022. március 30
