Hur fångar jag nätverkstrafik? Network Tap vs Port Mirror

För att analysera nätverkstrafiken är det nödvändigt att skicka nätverkspaketet till NTOP/NPROBE eller out-of-band nätverkssäkerhets- och övervakningsverktyg. Det finns två lösningar på detta problem:

Hamnspegling(även känd som span)

Nätverkskran(Även känd som Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)

Innan du förklarar skillnaderna mellan de två lösningarna (Port Mirror och Network Tap) är det viktigt att förstå hur Ethernet fungerar. Vid 100Mbit och högre talar värdar vanligtvis i full duplex, vilket innebär att en värd kan skicka (TX) och ta emot (Rx) samtidigt. Detta innebär att på en 100 Mbit -kabel ansluten till en värd är den totala beloppet för nätverkstrafiken som en värd kan skicka/ta emot (TX/RX)) 2 × 100 Mbit = 200 Mbit.

Portspeglingen är aktiv paketreplikation, vilket innebär att nätverksenheten är fysiskt ansvarig för att kopiera paketet till den speglade porten.

Network Switch Port Mirror

Detta innebär att enheten måste utföra denna uppgift genom att använda någon resurs (t.ex. CPU), och båda trafikanvisningarna kommer att replikeras till samma port. Som nämnts tidigare, i en fullständig duplexlänk, betyder detta det

A -> b och b -> a

Summan av A kommer inte att överstiga nätverkshastigheten innan paketförlust inträffar. Detta beror på att det fysiskt inte finns något utrymme att kopiera paket. Det visar sig att portspegling är en bra teknik eftersom den kan utföras av många switchar (men inte alla), eftersom de flesta av switcharna med nackdelen med paketförlust, om du övervakar en länk med över 50% belastning, eller speglar portarna på en snabbare port (EG -spegel 100 Mbit -portar på en 1 gbit -port). För att inte tala om att paketspegling kan kräva utbytesomkopplare resurser, som kan ladda enheten och få utbytesprestanda att försämras. Observera att du kan ansluta en port till en port, eller 1 VLAN till en port, men du kan i allmänhet inte kopiera många portar till 1. (så när paketspegeln) saknas.

En nätverkskran (Terminal Access Point)är en helt passiv hårdvaruenhet som passivt kan fånga trafik i ett nätverk. Det används vanligtvis för att övervaka trafiken mellan två punkter i nätverket. Om nätverket mellan dessa två punkter består av en fysisk kabel kan en nätverkskran vara det bästa sättet att fånga trafik.

Nätverkskranen har minst tre portar: en A -port, en B -port och en monitorport. För att placera en kran mellan punkterna A och B ersätts nätverkskabeln mellan punkt A och punkt B med ett par kablar, en som går till kranen är en port, den andra går till TAP: s B -port. Kapen passerar all trafik mellan de två nätverkspunkterna, så de är fortfarande anslutna till varandra. TAP kopierar också trafiken till sin bildskärmsport, vilket gör det möjligt för en analysenhet att lyssna.

Nätverksappar används ofta genom övervaknings- och insamlingsenheter som APS. TAPS kan också användas i säkerhetsapplikationer eftersom de är obesträckliga, inte kan detekteras i nätverket, kan hantera fullduplex och icke-delade nätverk och vanligtvis kommer att gå igenom trafiken även om kranen slutar fungera eller förlorar kraft.

Nätverkskranaggregering

Eftersom Network Taps -portar inte får men bara sänder, har Switch ingen aning som sitter bakom portarna. Konsekvensen är att den sänder paketen till alla portar. Därför, om du ansluter din övervakningsenhet till omkopplaren, kommer en sådan enhet att ta emot alla paket. Observera att denna mekanism fungerar om övervakningsanordningen inte skickar något paket till omkopplaren; Annars kommer omkopplaren att anta att de tappade paketen inte är för en sådan enhet. För att uppnå detta kan du antingen använda en nätverkskabel på vilken du inte har anslutit TX-ledningarna eller använda ett IP-mindre (och DHCP-mindre) nätverksgränssnitt som inte överför paket alls. Slutligen notera att om du vill använda en kran för att inte förlora paket, så smälter inte antingen vägbeskrivning eller använd en switch där tappade vägbeskrivningar är långsammare (t.ex. 100 mbit) som sammanslagningsporten (t.ex. 1 gbit).

Nätverkskranreplikation

Så, hur fångar jag nätverkstrafik? Network Taps vs Switch Ports Mirror

1- enkel konfiguration: Network Tap> Port Mirror

2- Nätverksprestanda: Network Tap <Port Mirror

3- Fångst, replikering, aggregering, vidarebefordringsförmåga: Network Tap> Port Mirror

4- Trafiköverskridande latens: Network Tap <Port Mirror

5- Förbehandlingskapacitet för trafik: Network Tap> Port Mirror

Network Taps vs Ports Mirror


Posttid: Mar-30-2022