For å analysere nettverkstrafikken er det nødvendig å sende nettverkspakken til NTOP/NPROBE eller Out-of-band Network Security and Monitoring Tools. Det finnes to løsninger på dette problemet:
Portspeiling(også kjent som SPAN)
Nettverkstrykk(også kjent som replikasjonstap, aggregeringstap, aktivt tap, kobbertap, Ethernet-tap, osv.)
Før vi forklarer forskjellene mellom de to løsningene (Port Mirror og Network Tap), er det viktig å forstå hvordan Ethernet fungerer. Ved 100 Mbit og over snakker verter vanligvis i full dupleks, noe som betyr at én vert kan sende (Tx) og motta (Rx) samtidig. Dette betyr at på en 100 Mbit-kabel koblet til én vert, er den totale mengden nettverkstrafikk som én vert kan sende/motta (Tx/Rx)) 2 × 100 Mbit = 200 Mbit.
Portspeiling er aktiv pakkereplikering, som betyr at nettverksenheten er fysisk ansvarlig for å kopiere pakken til den speilede porten.
Dette betyr at enheten må utføre denne oppgaven ved å bruke en ressurs (som CPU-en), og begge trafikkretningene vil bli replikert til samme port. Som nevnt tidligere, i en full duplekskobling, betyr dette at
A -> B og B -> A
Summen av A vil ikke overstige nettverkshastigheten før pakketap oppstår. Dette er fordi det fysisk ikke er plass til å kopiere pakker. Det viser seg at portspeiling er en flott teknikk, da den kan utføres av mange svitsjer (men ikke alle), fordi de fleste svitsjer har ulempen med pakketap, hvis du overvåker en lenke med over 50 % belastning, eller speiler portene til en raskere port (f.eks. speiler 100 Mbit-porter til en 1 Gbit-port). For ikke å nevne at pakkespeiling kan kreve utveksling av svitsjeressurser, noe som kan belaste enheten og føre til at utvekslingsytelsen forringes. Merk at du kan koble 1 port til én port, eller 1 VLAN til én port, men du kan vanligvis ikke kopiere mange porter til 1. (Så pakkespeilet) mangler.
Et nettverks-TAP (terminaltilgangspunkt)er en fullstendig passiv maskinvareenhet som passivt kan fange trafikk på et nettverk. Den brukes ofte til å overvåke trafikken mellom to punkter i nettverket. Hvis nettverket mellom disse to punktene består av en fysisk kabel, kan en nettverks-TAP være den beste måten å fange trafikk på.
Nettverks-TAP-en har minst tre porter: en A-port, en B-port og en monitorport. For å plassere en tap mellom punkt A og B, erstattes nettverkskabelen mellom punkt A og punkt B med et par kabler, den ene går til TAP-ens A-port, den andre går til TAP-ens B-port. TAP-en sender all trafikk mellom de to nettverkspunktene, slik at de fortsatt er koblet til hverandre. TAP-en kopierer også trafikken til monitorporten sin, og gjør det mulig for en analyseenhet å lytte.
Nettverks-TAP-er brukes ofte av overvåkings- og innsamlingsenheter som APS. TAP-er kan også brukes i sikkerhetsapplikasjoner fordi de ikke er påtrengende, ikke kan oppdages på nettverket, kan håndtere fulldupleks og ikke-delte nettverk, og vanligvis vil sende gjennom trafikk selv om tap-en slutter å virke eller mister strømmen.
Siden Network Taps-porter ikke mottar, men bare sender, har svitsjen ingen anelse om hvem som sitter bak portene. Konsekvensen er at den kringkaster pakkene til alle porter. Derfor, hvis du kobler overvåkingsenheten din til svitsjen, vil denne enheten motta alle pakkene. Merk at denne mekanismen fungerer hvis overvåkingsenheten ikke sender noen pakker til svitsjen; ellers vil svitsjen anta at de tappede pakkene ikke er for denne enheten. For å oppnå dette kan du enten bruke en nettverkskabel der du ikke har koblet til TX-ledningene, eller bruke et IP-løst (og DHCP-løst) nettverksgrensesnitt som ikke sender pakker i det hele tatt. Merk til slutt at hvis du vil bruke en tappeport for å ikke miste pakker, må du enten ikke flette retninger eller bruke en svitsj der tappede retninger er tregere (f.eks. 100 Mbit) enn fletteporten (f.eks. 1 Gbit).
Så, hvordan fange opp nettverkstrafikk? Nettverksavbrudd vs. svitsjportspeil
1- Enkel konfigurasjon: Nettverk Trykk > Portspeil
2- Innflytelse på nettverksytelse: Nettverkstrykk < Portspeil
3- Opptak, replikering, aggregering, videresendingsmulighet: Nettverkstrykk > Portspeil
4- Latens for videresending av trafikk: Nettverkstrykk < Portspeil
5- Forbehandlingskapasitet for trafikk: Nettverk Trykk > Portspeil
Publisert: 30. mars 2022
