Как да улавя мрежовия трафик? Network Tap срещу Port Mirror

За да анализирате мрежовия трафик, е необходимо да изпратите мрежовия пакет към NTOP/NPROBE или Out-of-band Network Security and Monitoring Tools. Има две решения на този проблем:

Port Mirroring(известен също като SPAN)

Мрежов кран(известен също като репликационен кран, агрегационен кран, активен кран, меден кран, Ethernet кран и др.)

Преди да обясните разликите между двете решения (Port Mirror и Network Tap), е важно да разберете как работи Ethernet. При 100Mbit и повече хостовете обикновено говорят в пълен дуплекс, което означава, че един хост може да изпраща (Tx) и да получава (Rx) едновременно. Това означава, че при 100 Mbit кабел, свързан към един хост, общото количество мрежов трафик, който един хост може да изпрати/получи (Tx/Rx)) е 2 × 100 Mbit = 200 Mbit.

Дублирането на порт е активна репликация на пакети, което означава, че мрежовото устройство е физически отговорно за копирането на пакета в дублирания порт.

огледален порт на мрежов комутатор

Това означава, че устройството трябва да изпълни тази задача, като използва някакъв ресурс (като процесора) и двете посоки на трафика ще бъдат копирани към един и същ порт. Както бе споменато по-рано, при пълна дуплексна връзка това означава, че

A - > B и B -> A

Сумата от A няма да надвиши скоростта на мрежата, преди да настъпи загуба на пакети. Това е така, защото физически няма място за копиране на пакети. Оказва се, че отразяването на портове е страхотна техника, тъй като може да се изпълнява от много комутатори (но не всички), тъй като повечето от комутаторите имат недостатъка загуба на пакети, ако наблюдавате връзка с над 50% натоварване, или дублирате портове към по-бърз порт (напр. дублиране на 100 Mbit портове към 1 Gbit порт). Да не говорим, че дублирането на пакети може да изисква обмен на ресурси на комутатори, което може да натовари устройството и да доведе до влошаване на производителността на обмена. Обърнете внимание, че можете да свържете 1 порт към един порт или 1 VLAN към един порт, но обикновено не можете да копирате много портове към 1. (Така че пакетното огледало) липсва.

Мрежов TAP (терминална точка за достъп)е напълно пасивно хардуерно устройство, което може пасивно да улавя трафик в мрежа. Обикновено се използва за наблюдение на трафика между две точки в мрежата. Ако мрежата между тези две точки се състои от физически кабел, мрежовият TAP може да е най-добрият начин за улавяне на трафика.

Мрежовият TAP има поне три порта: порт A, порт B и порт за монитор. За да поставите кран между точки A и B, мрежовият кабел между точка A и точка B се заменя с чифт кабели, единият отива към порт A на TAP, а другият отива към порт B на TAP. TAP пропуска целия трафик между двете мрежови точки, така че те все още са свързани една с друга. TAP също копира трафика към своя порт за монитор, като по този начин позволява на устройството за анализ да слуша.

Мрежовите TAP обикновено се използват от устройства за наблюдение и събиране, като APS. TAPs могат да се използват и в приложения за сигурност, тъй като те не са натрапчиви, не се откриват в мрежата, могат да работят с пълен дуплекс и несподелени мрежи и обикновено преминават през трафик, дори ако кранът спре да работи или загуби захранване .

агрегиране на мрежови кранове

Тъй като портовете на Network Taps не получават, а само предават, комутаторът няма представа кой седи зад портовете. Последствието е, че той излъчва пакетите към всички портове. Следователно, ако свържете вашето устройство за наблюдение към комутатора, това устройство ще получи всички пакети. Имайте предвид, че този механизъм работи, ако устройството за наблюдение не изпраща никакви пакети към комутатора; в противен случай превключвателят ще приеме, че подслушваните пакети не са за такова устройство. За да постигнете това, можете или да използвате мрежов кабел, към който не сте свързали TX кабелите, или да използвате мрежов интерфейс без IP (и без DHCP), който изобщо не предава пакети. Накрая имайте предвид, че ако искате да използвате докосване, за да не губите пакети, тогава или не обединявайте упътвания, или използвайте превключвател, където подслушваните упътвания са по-бавни (напр. 100 Mbit) от порта за обединяване (напр. 1 Gbit).

репликация на мрежов кран

И така, как да уловите мрежовия трафик? Мрежови кранове срещу огледало на превключвателни портове

1- Лесна конфигурация: Мрежово докосване > Port Mirror

2- Влияние върху производителността на мрежата: Мрежово докосване < Port Mirror

3- Възможност за улавяне, репликация, агрегиране, препращане: Мрежово докосване > Порт Mirror

4- Закъснение при пренасочване на трафик: Мрежово докосване < Port Mirror

5- Капацитет за предварителна обработка на трафик: Мрежов докосване > Port Mirror

мрежови кранове срещу огледални портове


Време на публикуване: 30 март 2022 г