For at overvåge netværkstrafik, f.eks. analyse af brugeradfærd online, overvågning af unormal trafik og overvågning af netværksapplikationer, skal du indsamle netværkstrafik. Registrering af netværkstrafik kan være unøjagtig. Faktisk skal du kopiere den aktuelle netværkstrafik og sende den til overvågningsenheden. Netværkssplitter, også kendt som Network TAP, udfører netop dette job. Lad os se på definitionen af Network TAP:
I. En netværksafbryder er en hardwareenhed, der giver adgang til data, der flyder på tværs af et computernetværk. (fra Wikipedia)
II. ANetværkstap, også kendt som en Test Access Port, er en hardwareenhed, der tilsluttes direkte til et netværkskabel og sender et stykke netværkskommunikation til andre enheder. Netværkssplittere bruges almindeligvis i netværksindtrængningsdetektionssystemer (IPS), netværksdetektorer og profileringssystemer. Replikering af kommunikation til netværksenheder udføres nu typisk via en switching port analyzer (span port), også kendt som port mirroring i netværksswitching.
III. Netværkstaps bruges til at oprette permanente adgangsporte til passiv overvågning. En taps, eller Test Access Port, kan konfigureres mellem to netværksenheder, såsom switche, routere og firewalls. Den kan fungere som en adgangsport til overvågningsenheder, der bruges til at indsamle inline-data, herunder indtrængningsdetektionssystemer, indtrængningsforebyggelsessystemer implementeret i passiv tilstand, protokolanalysatorer og fjernovervågningsværktøjer. (fra NetOptics).
Ud fra ovenstående tre definitioner kan vi grundlæggende udlede adskillige karakteristika for Network TAP: hardware, inline, transparent
Her er et kig på disse funktioner:
1. Det er et uafhængigt stykke hardware, og på grund af dette har det ingen indflydelse på belastningen af eksisterende netværksenheder, hvilket har store fordele i forhold til portspejling.
2. Det er en inline-enhed. Kort sagt skal den være forbundet til netværket, hvilket er forståeligt. Dette har dog også den ulempe, at det introducerer et fejlpunkt, og fordi det er en online-enhed, skal det nuværende netværk afbrydes ved implementeringstidspunktet, afhængigt af hvor den implementeres.
3. Transparent refererer til markøren til det aktuelle netværk. Adgangsnetværk efter shunt, det aktuelle netværk for alt udstyr, har ingen effekt, for dem er fuldstændig transparent, selvfølgelig indeholder det også netværk, der sender trafik til overvågningsudstyr, overvågningsenheden for netværket er transparent, det er som om du har adgang til en ny stikkontakt, for andre eksisterende apparater sker der ingenting, heller ikke når du endelig fjerner apparatet og pludselig husker digtet, "Vink med ærmet og ikke en sky"......
Mange kender portspejling. Ja, portspejling kan også opnå den samme effekt. Her er en sammenligning mellem netværksudtag/omdirigerere og portspejling:
1. Da switchens port selv filtrerer nogle fejlpakker og pakker med for lille størrelse, kan portspejling ikke garantere, at al trafik kan hentes. Shunteren sikrer dog dataintegriteten, fordi den er fuldstændigt "kopieret" på det fysiske lag.
2. Med hensyn til realtidsydelse kan portspejling på nogle low-end-switche medføre forsinkelser, når trafik kopieres til spejlingsporte, og det medfører også forsinkelser, når 10/100m-porte kopieres til GIGA-porte.
3. Portspejling kræver, at båndbredden for en spejlet port er større end eller lig med summen af båndbredderne for alle spejlede porte. Dette krav opfyldes dog muligvis ikke af alle switche.
4. Portspejling skal konfigureres på switchen. Når de områder, der skal overvåges, skal justeres, skal switchen omkonfigureres.
Opslagstidspunkt: 05.08.2022
