For at overvåge netværkstrafik, såsom analyse af brugernes onlineadfærd, unormal trafikovervågning og netværksapplikationsovervågning, skal du indsamle netværkstrafik. Registrering af netværkstrafik kan være unøjagtig. Faktisk skal du kopiere den aktuelle netværkstrafik og sende den til overvågningsenheden. Netværkssplitter, også kendt som Network TAP. Den gør bare dette arbejde. Lad os tage et kig på definitionen af Network TAP:
I. Et netværkstap er en hardwareenhed, der giver adgang til data, der flyder på tværs af et computernetværk.(fra wikipedia)
II. ENNetværk Tryk på, også kendt som en testadgangsport, er en hardwareenhed, der tilsluttes direkte til et netværkskabel og sender et stykke netværkskommunikation til andre enheder. Netværkssplittere bruges almindeligvis i netværksindtrængningsdetektionssystemer (IPS), netværksdetektorer og profiler. Replikering af kommunikation til netværksenheder sker nu typisk gennem en switching port analysator (span port), også kendt som port spejling i netværks switching.
III. Network Taps bruges til at skabe permanente adgangsporte til passiv overvågning. Et tryk, eller Test Access Port, kan konfigureres mellem to netværksenheder, såsom switche, routere og firewalls. Det kan fungere som en adgangsport til overvågningsenhed, der bruges til at indsamle in-line data, inklusive indtrængningsdetektionssystem, indtrængningsforebyggelsessystem implementeret i passiv tilstand, protokolanalysatorer og fjernovervågningsværktøjer. (fra NetOptics).
Fra ovenstående tre definitioner kan vi grundlæggende tegne flere karakteristika ved Network TAP: hardware, inline, transparent
Her er et kig på disse funktioner:
1. Det er et uafhængigt stykke hardware, og på grund af dette har det ikke nogen indflydelse på belastningen af eksisterende netværksenheder, hvilket har store fordele i forhold til portspejling
2. Det er en in-line enhed. Kort sagt skal det være forbundet til netværket, hvilket kan forstås. Dette har dog også den ulempe, at det introducerer et fejlpunkt, og fordi det er en online-enhed, skal det nuværende netværk afbrydes ved implementeringstidspunktet, afhængigt af hvor det er installeret.
3. Transparent henviser til markøren til det aktuelle netværk. Adgangsnetværk efter shunt, det nuværende netværk for alt udstyr, har ingen effekt, for dem er helt gennemsigtige, selvfølgelig, det indeholder også netværksshunt sende trafik til at overvåge udstyr, overvågningsenheden for netværk er gennemsigtig, det er som hvis du er i en ny adgang til en ny stikkontakt, for andre eksisterende apparater, sker der ikke noget, herunder når du endelig fjerner apparatet og pludselig husker digtet, "Vift med ærmet og ikke en sky"......
Mange mennesker er bekendt med port spejling. Ja, portspejling kan også opnå samme effekt. Her er en sammenligning mellem Network Taps/Diverters og Port Mirroring:
1. Da porten på switchen selv vil filtrere nogle fejlpakker og pakker med for lille størrelse, kan portspejling ikke garantere, at al trafik kan opnås. Shunteren sikrer dog dataintegriteten, fordi den er fuldstændig "kopieret" på det fysiske lag
2. Med hensyn til realtidsydelse, på nogle low-end switches, kan portspejling introducere forsinkelser, når den kopierer trafik til spejlingsporte, og den introducerer også forsinkelser, når den kopierer 10/100m porte til GIGA-porte
3. Portspejling kræver, at båndbredden af en spejlet port er større end eller lig med summen af båndbredderne for alle spejlede porte. Dette krav opfyldes dog muligvis ikke af alle kontakter
4. Portspejling skal konfigureres på switchen. Når de områder, der skal overvåges, skal justeres, skal kontakten omkonfigureres.
Indlægstid: Aug-05-2022