Для аналізу мережевого трафіку необхідно надсилати мережевий пакет до NTOP/NPROBE або поза діапазону мережевої безпеки та інструментів моніторингу. У цій проблемі є два рішення:
Порт -дзеркальне відображення(також відомий як проміжок)
Мережевий кран(Також відомий як кран реплікації, кран агрегації, активний кран, мідний кран, кран Ethernet тощо)
Перш ніж пояснити відмінності між двома рішеннями (порт дзеркало та мережевий кран), важливо зрозуміти, як працює Ethernet. На 100 Мбіт і вище хости зазвичай говорять у повному дуплексі, це означає, що один хост може одночасно надсилати (TX) та приймати (RX). Це означає, що на 100 Мбіт кабелю, підключеному до одного хоста, загальна кількість мережевого трафіку, який один хост може надсилати/приймати (TX/RX)) становить 2 × 100 Мбіт = 200 Мбіт.
Дзеркальне відображення порту - це активна реплікація пакетів, що означає, що мережевий пристрій фізично відповідає за копіювання пакету в дзеркальний порт.
Це означає, що пристрій повинен виконати це завдання, використовуючи якийсь ресурс (наприклад, процесор), і обидва напрямки трафіку будуть повторені в одному порту. Як згадувалося раніше, у повному дуплексному ланці це означає, що це означає
A -> b і b -> a
Сума A не перевищує швидкість мережі до відбудеться втрата пакетів. Це тому, що фізично немає місця для копіювання пакетів. Виявляється, дзеркальне відображення портів - це чудова техніка, оскільки його можуть виконувати багато комутаторів (але не всі), оскільки більшість комутаторів із недоліком втрати пакетів, якщо ви стежите за посиланням з більш ніж 50% навантаженням, або відображаєте порти на більш швидкий порт (наприклад, дзеркальні порти 100 Мбіт на порт 1 Гбіт). Не кажучи вже про те, що дзеркальне відображення пакетів може вимагати обміну ресурсами комутаторів, які можуть завантажувати пристрій і спричинити її зниження продуктивності обміну. Зауважте, що ви можете підключити 1 порт до одного порту, або 1 VLAN до одного порту, але ви, як правило, не можете скопіювати багато портів на 1. (Так як дзеркало пакету) відсутня.
Мережевий кран (точка доступу терміналу)є повністю пасивним апаратним пристроєм, який може пасивно захоплювати трафік в мережі. Він зазвичай використовується для моніторингу трафіку між двома точками в мережі. Якщо мережа між цими двома точками складається з фізичного кабелю, мережевий кран може бути найкращим способом зйомки трафіку.
Мережевий кран має щонайменше три порти: порт A, порт B та порт монітора. Щоб розмістити натискання між точками A і B, мережевий кабель між точкою A і точкою B замінюється парою кабелів, один, що йде до порту Tap A, інший - до порту B. TAP проходить весь трафік між двома мережевими точками, тому вони все ще підключені один до одного. TAP також копіює трафік до свого порту монітора, тим самим дозволяючи пристрою аналізу слухати.
Мережеві крани зазвичай використовуються за допомогою моніторингу та пристроїв збору, таких як APS. TAPS також може використовуватися в програмах безпеки, оскільки вони є ненав'язливими, не виявляються в мережі, можуть мати справу з повним дуплексним та не зафіксованим мережами, і, як правило, проходитимуть трафік, навіть якщо кран перестає працювати або втрачати живлення.
Оскільки мережеві торгові порти не отримують, а лише передають, перемикач не має поняття, хто сидить за портами. Наслідком цього є те, що він транслює пакети на всі порти. Тому, якщо ви підключите свій пристрій моніторингу до комутатора, такий пристрій отримає всі пакети. Зауважте, що цей механізм працює, якщо пристрій моніторингу не надсилає жодного пакету на комутатор; В іншому випадку перемикач припустить, що пакетики, що відпускаються, не для такого пристрою. Для того, щоб досягти цього, ви можете використовувати мережевий кабель, на якому ви не підключили дроти TX, або використовувати мережевий інтерфейс без IP-без IP (і DHCP), який взагалі не передає пакети. Нарешті, зауважте, що якщо ви хочете використовувати кран для не втрати пакетів, то або не об'єднайте вказівки, або не використовуйте перемикач, де повільні вказівки (наприклад, 100 Мбіт), що порт злиття (наприклад, 1 Gbit).
Отже, як захопити мережевий трафік? Мережеві крани проти портів комутаторів Дзеркало
1- Проста конфігурація: Мережевий натиск> Дзеркало порту
2- Вплив продуктивності мережі: мережевий натиск <порт дзеркало
3- Захоплення, реплікація, агрегація, здатність переадресації: Мережевий натиск> Дзеркало порту
4- Затримка переадресації трафіку: мережевий натискання <порт дзеркало
5- Трафра попередньої обробки: Мережевий натиск> Дзеркало порту
Час посади: 30-2022 березня
