For at analysere netværkstrafikken er det nødvendigt at sende netværkspakken til NTOP/NPROBE eller Out-of-band Network Security and Monitoring Tools. Der er to løsninger på dette problem:
Port spejling(også kendt som SPAN)
Netværk Tryk på(også kendt som Replikering Tap, Aggregation Tap, Active Tap, Kobber Tap, Ethernet Tap osv.)
Før du forklarer forskellene mellem de to løsninger (Port Mirror og Network Tap), er det vigtigt at forstå, hvordan Ethernet fungerer. Ved 100 Mbit og derover taler værter normalt i fuld dupleks, hvilket betyder, at én vært kan sende(Tx) og modtage(Rx) samtidigt. Det betyder, at på et 100 Mbit kabel tilsluttet én vært, er den samlede mængde af netværkstrafik, som én vært kan sende/modtage (Tx/Rx)), 2 × 100 Mbit = 200 Mbit.
Port-spejlingen er aktiv pakkereplikering, hvilket betyder, at netværksenheden er fysisk ansvarlig for at kopiere pakken til den spejlede port.
Det betyder, at enheden skal udføre denne opgave ved at bruge en eller anden ressource (såsom CPU'en), og begge trafikretninger vil blive replikeret til den samme port. Som tidligere nævnt betyder det i A full duplex link
A - > B og B -> A
Summen af A vil ikke overstige netværkshastigheden, før der opstår pakketab. Dette skyldes, at der fysisk ikke er plads til at kopiere pakker. Det viser sig, at port-spejling er en fantastisk teknik, da den kan udføres af mange switches (men ikke alle), fordi de fleste af switchene med ulempen ved pakketab, hvis du overvåger et link med over 50% belastning, eller spejler portene til en hurtigere port (f.eks. spejler 100 Mbit-porte til en 1 Gbit-port). For ikke at nævne, at pakkespejling kan kræve udveksling af switchressourcer, hvilket kan indlæse enheden og få udvekslingsydelsen til at forringes. Bemærk at du kan tilslutte 1 port til en port, eller 1 VLAN til en port, men du kan generelt ikke kopiere mange porte til 1. (Så da pakkespejlet) mangler.
Et netværk TAP (Terminal Access Point)er en fuldt passiv hardwareenhed, som passivt kan fange trafik på et netværk. Det bruges almindeligvis til at overvåge trafikken mellem to punkter i netværket. Hvis netværket mellem disse to punkter består af et fysisk kabel, kan et netværk TAP være den bedste måde at fange trafik på.
Netværkets TAP har mindst tre porte: en A-port, en B-port og en monitorport. For at placere et udtag mellem punkt A og B, erstattes netværkskablet mellem punkt A og punkt B med et par kabler, hvor det ene går til TAP'ens A-port, det andet går til TAP'ens B-port. TAP'en sender al trafik mellem de to netværkspunkter, så de stadig er forbundet med hinanden. TAP kopierer også trafikken til dens monitorport, hvilket gør det muligt for en analyseenhed at lytte.
Netværks-TAP'er bruges almindeligvis af overvågnings- og indsamlingsenheder såsom APS. TAP'er kan også bruges i sikkerhedsapplikationer, fordi de er ikke-påtrængende, ikke kan registreres på netværket, kan håndtere fuld-duplex og ikke-delte netværk og vil normalt passere trafik, selvom hanen holder op med at fungere eller mister strøm.
Da Network Taps-porte ikke modtager, men kun sender, har switchen ingen anelse om, hvem der sidder bag portene. Konsekvensen er, at den udsender pakkerne til alle porte. Derfor, hvis du tilslutter din overvågningsenhed til switchen, vil en sådan enhed modtage alle pakker. Bemærk, at denne mekanisme virker, hvis overvågningsenheden ikke sender nogen pakke til switchen; ellers vil switchen antage, at de aflyttede pakker ikke er til en sådan enhed. For at opnå det kan du enten bruge et netværkskabel, som du ikke har tilsluttet TX-ledningerne på, eller bruge et IP-løst (og DHCP-løst) netværksinterface, der slet ikke transmitterer pakker. Bemærk endelig, at hvis du vil bruge et tryk til ikke at miste pakker, så lad være med at flette retninger eller bruge en switch, hvor de tappede retninger er langsommere (f.eks. 100 Mbit) end fletteporten (f.eks. 1 Gbit).
Så hvordan fanger man netværkstrafik? Network Taps vs Switch Ports Mirror
1- Nem konfiguration: Netværk Tryk på > Port Mirror
2- Netværksydelsespåvirkning: Netværk Tryk på < Port Mirror
3- Capture, Replikation, Aggregation, Forwarding Evne: Netværk Tryk på > Port Mirror
4- Trafikvideresendelsesforsinkelse: Netværk Tryk på < Port Mirror
5- Trafikforbehandlingskapacitet: Netværk Tryk på > Port Mirror
Indlægstid: 30. marts 2022
