Hvordan man fanger netværkstrafik? Netværks tap vs Port Mirror

For at analysere netværkstrafikken er det nødvendigt at sende netværkspakken til NTOP/NPROBE eller uden for båndet netværkssikkerhed og overvågningsværktøjer. Der er to løsninger på dette problem:

Port spejling(også kendt som span)

Netværksknap(Også kendt som Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap osv.)

Før du forklarer forskellene mellem de to opløsninger (portspejl og netværksknap), er det vigtigt at forstå, hvordan Ethernet fungerer. Ved 100Mbit og derover taler værter normalt i fuld duplex, hvilket betyder, at en vært kan sende (TX) og modtage (RX) samtidig. Dette betyder, at på et 100 Mbit -kabel, der er tilsluttet en vært, er den samlede mængde af den netværkstrafik, som en vært kan sende/modtage (TX/RX))) 2 × 100 Mbit = 200 Mbit.

Porten spejler er aktiv pakkeplikation, hvilket betyder, at netværksenheden er fysisk ansvarlig for at kopiere pakken til den spejlede port.

Netværkskontaktport spejl

Dette betyder, at enheden skal udføre denne opgave ved hjælp af en vis ressource (såsom CPU), og begge trafikretninger replikeres til den samme port. Som nævnt tidligere, i et komplet duplex -link, betyder det det

A -> B og B -> A

Summen af ​​en vil ikke overstige netværkshastigheden, før pakketab opstår. Dette skyldes, at der fysisk ikke er plads til at kopiere pakker. Det viser sig, at Port Mirroring er en fantastisk teknik, da den kan udføres af mange switches (men ikke alle), fordi de fleste af afbryderne med ulempen ved pakketab, hvis du overvåger en link med over 50% belastning, eller spejler porte på en hurtigere port (EG Mirror 100 Mbit -porte på en 1 Gbit -port). For ikke at nævne, at pakke spejling kan kræve udveksling af switches -ressourcer, som kan indlæse enheden og få udvekslingsydelsen til at nedbrydes. Bemærk, at du kan forbinde 1 port til en port, eller 1 VLAN til en port, men du kan generelt ikke kopiere mange porte til 1. (så som pakkespejlet) mangler.

Et netværkshaner (terminal adgangspunkt)er en fuldt passiv hardwareenhed, som passivt kan fange trafik på et netværk. Det bruges ofte til at overvåge trafikken mellem to punkter i netværket. Hvis netværket mellem disse to punkter består af et fysisk kabel, kan et netværkskniv være den bedste måde at fange trafik på.

Netværkshanen har mindst tre porte: en en port, en B -port og en skærmport. For at placere et tryk mellem punkter A og B erstattes netværkskablet mellem punkt A og punkt B med et par kabler, det ene går til TAP's A -port, den anden går til TAP's B -port. Tapen passerer al trafik mellem de to netværkspunkter, så de er stadig forbundet med hinanden. Tapen kopierer også trafikken til sin Monitor -port, hvilket gør det muligt for en analyseenhed at lytte.

Netværkshaner bruges ofte af overvågnings- og indsamlingsenheder såsom APS. Taps kan også bruges i sikkerhedsapplikationer, fordi de er ikke-ubeskyttede, ikke kan påvises på netværket, kan håndtere fuld-duplex og ikke-delte netværk og vil normalt gennemgå trafik, selvom hanen holder op med at arbejde eller mister strømmen.

Aggregation af netværks hanen

Da netværk tapper porte ikke modtager, men transmitterer kun, har kontakten ingen anelse om, hvem der sidder bag havne. Konsekvensen er, at den udsender pakkerne til alle porte. Derfor, hvis du forbinder din overvågningsenhed til kontakten, modtager en sådan enhed alle pakker. Bemærk, at denne mekanisme fungerer, hvis overvågningsenheden ikke sender nogen pakke til kontakten; Ellers antager switch, at de tappede pakker ikke er til en sådan enhed. For at opnå dette kan du enten bruge et netværkskabel, som du ikke har tilsluttet TX-ledningerne, eller bruge en IP-mindre (og DHCP-mindre) netværksgrænseflade, der overhovedet ikke transmitterer pakker. Til sidst skal du bemærke, at hvis du vil bruge et tryk til ikke at miste pakker, så fletter enten ikke retninger eller brug en switch, hvor tappede anvisninger er langsommere (f.eks. 100 Mbit), at fletningsporten (f.eks. 1 Gbit).

Replikation af netværk

Så hvordan kan man fange netværkstrafik? Netværk Tap vs Switch Ports Mirror

1- Let konfiguration: Netværks tap> Port Mirror

2- Netværksydelsespåvirkning: Netværks tap <Port Mirror

3- Fangst, replikation, aggregering, videresendelsesevne: Netværks tap> Port Mirror

4- Trafikforvaltning Latenstid: Netværks tap <Port Mirror

5- Trafikforarbejdningskapacitet: Netværks tap> Port Mirror

Netværk Tap vs Ports Mirror


Posttid: Mar-30-2022