För att analysera nätverkstrafiken är det nödvändigt att skicka nätverkspaketet till NTOP/NPROBE eller Out-of-band Network Security and Monitoring Tools. Det finns två lösningar på detta problem:
Portspegling(även känd som SPAN)
Nätverk Tryck(även känd som Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Innan du förklarar skillnaderna mellan de två lösningarna (Port Mirror och Network Tap) är det viktigt att förstå hur Ethernet fungerar. Vid 100 Mbit och över talar värdar vanligtvis i full duplex, vilket innebär att en värd kan skicka(Tx) och ta emot(Rx) samtidigt. Detta innebär att på en 100 Mbit kabel ansluten till en värd är den totala mängden nätverkstrafik som en värd kan skicka/ta emot (Tx/Rx)) 2 × 100 Mbit = 200 Mbit.
Portspeglingen är aktiv paketreplikering, vilket innebär att nätverksenheten är fysiskt ansvarig för att kopiera paketet till den speglade porten.
Detta innebär att enheten måste utföra denna uppgift genom att använda någon resurs (som CPU), och båda trafikriktningarna kommer att replikeras till samma port. Som nämnts tidigare, i A full duplex link, betyder detta att
A - > B och B -> A
Summan av A kommer inte att överstiga nätverkshastigheten innan paketförlust inträffar. Detta beror på att det fysiskt inte finns något utrymme för att kopiera paket. Det visar sig att portspegling är en utmärkt teknik eftersom den kan utföras av många switchar (men inte alla), eftersom de flesta switcharna med nackdelen med paketförlust, om du övervakar en länk med över 50 % belastning, eller speglar portar till en snabbare port (t.ex. spegla 100 Mbit-portar till en 1 Gbit-port). För att inte tala om att paketspegling kan kräva utbyte av switchresurser, vilket kan ladda enheten och göra att utbytesprestandan försämras. Observera att du kan ansluta 1 port till en port, eller 1 VLAN till en port, men du kan vanligtvis inte kopiera många portar till 1. (Så eftersom paketspegeln) saknas.
A Network TAP (Terminal Access Point)är en helt passiv hårdvaruenhet, som passivt kan fånga trafik på ett nätverk. Det används vanligtvis för att övervaka trafiken mellan två punkter i nätverket. Om nätverket mellan dessa två punkter består av en fysisk kabel kan en nätverks-TAP vara det bästa sättet att fånga trafik.
Nätverket TAP har minst tre portar: en A-port, en B-port och en monitorport. För att placera en kran mellan punkterna A och B, ersätts nätverkskabeln mellan punkt A och punkt B med ett par kablar, varvid en går till TAP:s A-port, den andra går till TAP:s B-port. TAP skickar all trafik mellan de två nätverkspunkterna, så de är fortfarande anslutna till varandra. TAP:n kopierar också trafiken till sin monitorport, vilket gör att en analysenhet kan lyssna.
Nätverks-TAP används vanligtvis av övervaknings- och insamlingsenheter som APS. TAP:er kan också användas i säkerhetsapplikationer eftersom de är icke-påträngande, inte kan upptäckas i nätverket, kan hantera full-duplex och icke-delade nätverk och kommer vanligtvis att passera igenom trafik även om kranen slutar fungera eller tappar ström. .
Eftersom Network Taps-portar inte tar emot utan bara sänder, har switchen ingen aning om vem som sitter bakom portarna. Konsekvensen är att den sänder paketen till alla portar. Därför, om du ansluter din övervakningsenhet till switchen, kommer en sådan enhet att ta emot alla paket. Observera att denna mekanism fungerar om övervakningsenheten inte skickar något paket till switchen; annars kommer switchen att anta att de avlyssnade paketen inte är för en sådan enhet. För att uppnå det kan du antingen använda en nätverkskabel som du inte har anslutit TX-kablarna på, eller använda ett IP-löst (och DHCP-löst) nätverksgränssnitt som inte överför paket alls. Notera slutligen att om du vill använda en tryckknapp för att inte förlora paket, slå antingen inte samman riktningar eller använd en switch där uttagna riktningar är långsammare (t.ex. 100 Mbit) än sammanslagningsporten (t.ex. 1 Gbit).
Så, hur fångar man nätverkstrafik? Network Taps vs Switch Ports Mirror
1- Enkel konfiguration: Nätverk Tryck på > Port Mirror
2- Nätverksprestandapåverkan: Nätverk Tryck på < Port Mirror
3- Capture, Replikering, Aggregation, Forward Ability: Nätverk Tryck på > Port Mirror
4- Trafikvidarekopplingsfördröjning: Nätverk Tryck på < Port Mirror
5- Trafikförbehandlingskapacitet: Nätverk Tryck på > Port Mirror
Posttid: 30 mars 2022