Як захопити мережевий трафік? Мережевий розрив проти дзеркала порту

Щоб проаналізувати мережевий трафік, необхідно надіслати мережевий пакет до NTOP/NPROBE або Out-of-band Network Security and Monitoring Tools. Є два рішення цієї проблеми:

Віддзеркалення портів(також відомий як SPAN)

Мережевий кран(також відомий як реплікаційний, агрегаційний, активний, мідний, Ethernet тощо)

Перш ніж пояснювати відмінності між цими двома рішеннями (дзеркало порту та мережевий роз’єм), важливо зрозуміти, як працює Ethernet. На 100 Мбіт і вище хости зазвичай спілкуються в повному дуплексі, тобто один хост може надсилати (Tx) і отримувати (Rx) одночасно. Це означає, що на 100-мегабітному кабелі, підключеному до одного хоста, загальний обсяг мережевого трафіку, який один хост може надсилати/отримувати (Tx/Rx)), становить 2 × 100 Мбіт = 200 Мбіт.

Віддзеркалення порту — це активна реплікація пакетів, що означає, що мережевий пристрій фізично відповідає за копіювання пакета до віддзеркаленого порту.

дзеркало порту комутатора мережі

Це означає, що пристрій повинен виконувати це завдання, використовуючи певний ресурс (наприклад, ЦП), і обидва напрямки трафіку будуть відтворені на один порт. Як згадувалося раніше, у повному дуплексному з’єднанні це означає, що

A -> B і B -> A

Сума A не перевищить швидкість мережі до того, як відбудеться втрата пакетів. Це тому, що фізично немає місця для копіювання пакетів. Виявляється, віддзеркалення портів є чудовою технікою, оскільки воно може виконуватися багатьма комутаторами (але не всіма), тому що недоліком більшості комутаторів є втрата пакетів, якщо ви відстежуєте з’єднання із завантаженням понад 50%, або віддзеркалюєте порти на швидший порт (наприклад, віддзеркалення портів 100 Мбіт на порт 1 Гбіт). Не кажучи вже про те, що віддзеркалення пакетів може вимагати обміну ресурсами комутаторів, що може навантажувати пристрій і спричиняти погіршення продуктивності обміну. Зауважте, що ви можете підключити 1 порт до одного порту або 1 VLAN до одного порту, але, як правило, ви не можете скопіювати багато портів до 1. (Таким чином, дзеркало пакетів) відсутнє.

Мережевий TAP (термінальна точка доступу)це повністю пасивний апаратний пристрій, який може пасивно перехоплювати трафік у мережі. Він зазвичай використовується для моніторингу трафіку між двома точками в мережі. Якщо мережа між цими двома точками складається з фізичного кабелю, мережевий ТАР може бути найкращим способом захоплення трафіку.

Мережевий TAP має щонайменше три порти: порт A, порт B і порт монітора. Щоб розташувати кран між точками A і B, мережевий кабель між точками A і B замінюється парою кабелів, один з яких йде до порту A TAP, а інший – до порту B TAP. TAP пропускає весь трафік між двома точками мережі, тому вони все ще підключені одна до одної. TAP також копіює трафік на свій порт монітора, таким чином дозволяючи пристрою аналізу прослуховувати.

Мережні ТАПи зазвичай використовуються пристроями моніторингу та збору даних, такими як APS. ТАР також можна використовувати в додатках безпеки, оскільки вони ненав’язливі, не виявляються в мережі, можуть мати справу з повнодуплексними та незагальними мережами та зазвичай пропускають наскрізний трафік, навіть якщо кран перестає працювати або втрачає живлення. .

агрегація мережевих кранів

Оскільки порти Network Taps не приймають, а лише передають, комутатор не знає, хто сидить за портами. Наслідком цього є те, що він транслює пакети на всі порти. Тому, якщо ви підключите свій пристрій моніторингу до комутатора, такий пристрій отримуватиме всі пакети. Зауважте, що цей механізм працює, якщо пристрій моніторингу не надсилає жодних пакетів комутатору; інакше комутатор вважатиме, що перехоплені пакети не призначені для такого пристрою. Щоб досягти цього, ви можете використовувати мережевий кабель, до якого ви не підключили дроти TX, або використовувати мережевий інтерфейс без IP (і DHCP), який взагалі не передає пакети. Насамкінець зауважте, що якщо ви хочете використовувати кран, щоб не втрачати пакети, тоді або не об’єднуйте напрямки, або використовуйте перемикач, де об’єднані напрямки повільніші (наприклад, 100 Мбіт), ніж порт об’єднання (наприклад, 1 Гбіт).

реплікація відводу мережі

Отже, як захопити мережевий трафік? Мережні крани проти дзеркала портів комутатора

1- Проста конфігурація: Мережевий кран > Дзеркало порту

2- Вплив на продуктивність мережі: Мережевий кран < Port Mirror

3- Захоплення, реплікація, агрегація, можливість пересилання: Відведення мережі > Дзеркало порту

4- Затримка переадресації трафіку: Мережевий кран < дзеркало порту

5- Ємність попередньої обробки трафіку: Відведення мережі > Дзеркало порту

мережеві крани проти дзеркала портів


Час публікації: 30 березня 2022 р