За да се анализира мрежовият трафик, е необходимо да се изпрати мрежовият пакет към NTOP/NPROBE или Out-of-band Network Security and Monitoring Tools. Има две решения на този проблем:
Огледално копиране на портове(известен също като SPAN)
Мрежов кран(известен също като репликационен отвод, агрегиращ отвод, активен отвод, меден отвод, Ethernet отвод и др.)
Преди да обясним разликите между двете решения (Port Mirror и Network Tap), е важно да разберем как работи Ethernet. При скорости от 100 Mbit и повече, хостовете обикновено комуникират в пълен дуплекс, което означава, че един хост може да изпраща (Tx) и приема (Rx) едновременно. Това означава, че по 100 Mbit кабел, свързан с един хост, общото количество мрежов трафик, което един хост може да изпраща/получава (Tx/Rx), е 2 × 100 Mbit = 200 Mbit.
Огледалното копиране на портове е активно репликация на пакети, което означава, че мрежовото устройство е физически отговорно за копирането на пакета към огледалния порт.
Това означава, че устройството трябва да изпълни тази задача, използвайки някакъв ресурс (като например процесора), и двете посоки на трафика ще бъдат репликирани към един и същ порт. Както бе споменато по-рано, при връзка с пълен дуплекс това означава, че
А - > Б и Б -> А
Сумата от A няма да надвиши скоростта на мрежата, преди да възникне загуба на пакети. Това е така, защото физически няма място за копиране на пакети. Оказва се, че огледалното копиране на портове е чудесна техника, тъй като може да се извършва от много комутатори (но не от всички), тъй като повечето комутатори имат недостатъка на загубата на пакети, ако наблюдавате връзка с над 50% натоварване, или огледално копират портовете към по-бърз порт (например, огледално копират 100 Mbit портове към 1 Gbit порт). Да не говорим, че огледалното копиране на пакети може да изисква обмен на ресурси на комутаторите, което може да натовари устройството и да доведе до влошаване на производителността на обмена. Обърнете внимание, че можете да свържете 1 порт към един порт или 1 VLAN към един порт, но обикновено не можете да копирате много портове към 1. (Тъй като огледалното копиране на пакети липсва).
Мрежова TAP (Терминална точка за достъп)е напълно пасивно хардуерно устройство, което може пасивно да улавя трафик в мрежа. Обикновено се използва за наблюдение на трафика между две точки в мрежата. Ако мрежата между тези две точки се състои от физически кабел, мрежов TAP може да е най-добрият начин за улавяне на трафик.
Мрежовият TAP има поне три порта: A порт, B порт и мониторен порт. За да се постави разклонител между точки A и B, мрежовият кабел между точка A и точка B се заменя с двойка кабели, единият от които отива към A порт на TAP, а другият към B порт на TAP. TAP пропуска целия трафик между двете мрежови точки, така че те все още са свързани помежду си. TAP също така копира трафика към своя мониторен порт, като по този начин позволява на устройство за анализ да слуша.
Мрежовите TAP-ове (Transfer-Transfer-Connected ...
Тъй като портовете Network Taps не приемат, а само предават, комутаторът няма представа кой стои зад портовете. Последицата е, че той излъчва пакетите до всички портове. Следователно, ако свържете вашето устройство за наблюдение към комутатора, това устройство ще получава всички пакети. Обърнете внимание, че този механизъм работи, ако устройството за наблюдение не изпраща никакви пакети към комутатора; в противен случай комутаторът ще приеме, че прихванатите пакети не са за това устройство. За да постигнете това, можете или да използвате мрежов кабел, към който не сте свързали TX кабелите, или да използвате мрежов интерфейс без IP (и DHCP), който изобщо не предава пакети. Накрая, обърнете внимание, че ако искате да използвате tap, за да не губите пакети, тогава или не обединявайте посоките, или използвайте комутатор, където прихванатите посоки са по-бавни (напр. 100 Mbit) от порта за сливане (напр. 1 Gbit).
И така, как да уловим мрежовия трафик? Мрежови отклонения срещу огледални портове на комутатора
1- Лесна конфигурация: Network Tap > Port Mirror
2- Влияние на мрежовата производителност: Мрежов отвод < Огледално огледало на порта
3- Възможност за заснемане, репликация, агрегиране, пренасочване: Мрежов допир > Огледало на порт
4- Закъснение при пренасочване на трафик: Мрежов допир < Огледало на порт
5- Капацитет за предварителна обработка на трафика: Network Tap > Port Mirror
Време на публикуване: 30 март 2022 г.
