Для аналізу мережевого трафіку необхідно надіслати мережевий пакет до NTOP/NPROBE або Out-of-band Network Security and Monitoring Tools. Існує два рішення цієї проблеми:
Дзеркальне відображення портів(також відомий як SPAN)
Мережевий відвідний канал(також відомий як реплікаційний відгалужувач, агрегаційний відгалужувач, активний відгалужувач, мідний відгалужувач, відгалужувач Ethernet тощо)
Перш ніж пояснювати відмінності між двома рішеннями (Port Mirror та Network Tap), важливо зрозуміти, як працює Ethernet. При швидкості 100 Мбіт/с і вище хости зазвичай взаємодіють у повному дуплексному режимі, що означає, що один хост може одночасно надсилати (Tx) та отримувати (Rx). Це означає, що по кабелю 100 Мбіт/с, підключеному до одного хоста, загальний обсяг мережевого трафіку, який один хост може надсилати/отримувати (Tx/Rx), становить 2 × 100 Мбіт/с = 200 Мбіт/с.
Дзеркальне відображення порту – це активна реплікація пакетів, що означає, що мережевий пристрій фізично відповідає за копіювання пакета на дзеркальний порт.
Це означає, що пристрій повинен виконувати це завдання, використовуючи певний ресурс (наприклад, процесор), і обидва напрямки трафіку будуть репліковані на один і той самий порт. Як згадувалося раніше, у випадку повнодуплексного з'єднання це означає, що
А - > Б і Б -> А
Сума A не перевищить швидкість мережі до того, як відбудеться втрата пакетів. Це пояснюється тим, що фізично немає місця для копіювання пакетів. Виявляється, що дзеркалювання портів – це чудова техніка, оскільки її можуть виконувати багато комутаторів (але не всі), оскільки більшість комутаторів мають недолік втрати пакетів, якщо ви контролюєте з'єднання з навантаженням понад 50%, або дзеркалюєте порти на швидший порт (наприклад, дзеркалюєте порти 100 Мбіт/с на порт 1 Гбіт/с). Не кажучи вже про те, що дзеркалювання пакетів може вимагати обміну ресурсами комутаторів, що може навантажити пристрій і призвести до погіршення продуктивності обміну. Зверніть увагу, що ви можете підключити 1 порт до одного порту або 1 VLAN до одного порту, але зазвичай не можна скопіювати багато портів до 1. (Оскільки дзеркало пакетів відсутнє).
Мережева точка доступу (TAP)– це повністю пасивний апаратний пристрій, який може пасивно захоплювати трафік у мережі. Він зазвичай використовується для моніторингу трафіку між двома точками мережі. Якщо мережа між цими двома точками складається з фізичного кабелю, мережевий TAP може бути найкращим способом захоплення трафіку.
Мережевий TAP має щонайменше три порти: порт A, порт B та порт моніторингу. Щоб розмістити відгалуження між точками A та B, мережевий кабель між точками A та B замінюється парою кабелів, один з яких підключається до порту A TAP, а інший – до порту B TAP. TAP пропускає весь трафік між двома мережевими точками, тому вони залишаються з'єднаними одна з одною. TAP також копіює трафік на свій порт моніторингу, що дозволяє пристрою аналізу прослуховувати його.
Мережеві TAP зазвичай використовуються пристроями моніторингу та збору даних, такими як APS. TAP також можна використовувати в системах безпеки, оскільки вони не нав'язливі, не виявляються в мережі, можуть працювати з повнодуплексними та неспільними мережами та зазвичай пропускають трафік, навіть якщо відгалужувач перестане працювати або зникне живлення.
Оскільки порти Network Taps не приймають, а лише передають, комутатор не має уявлення, хто стоїть за портами. Наслідком цього є те, що він розсилає пакети на всі порти. Тому, якщо ви підключите пристрій моніторингу до комутатора, такий пристрій отримуватиме всі пакети. Зверніть увагу, що цей механізм працює, якщо пристрій моніторингу не надсилає жодних пакетів до комутатора; інакше комутатор вважатиме, що перехоплені пакети не призначені для такого пристрою. Щоб досягти цього, ви можете або використовувати мережевий кабель, до якого ви не підключили дроти передачі, або використовувати мережевий інтерфейс без IP (та DHCP), який взагалі не передає пакети. Нарешті, зверніть увагу, що якщо ви хочете використовувати tap, щоб уникнути втрати пакетів, то або не об'єднуйте напрямки, або використовуйте комутатор, де перехоплені напрямки повільніші (наприклад, 100 Мбіт/с), ніж порт об'єднання (наприклад, 1 Гбіт/с).
Отже, як захопити мережевий трафік? Мережеві відгалуження проти дзеркала портів комутатора
1. Просте налаштування: Network Tap > Port Mirror
2. Вплив на продуктивність мережі: мережевий відгалуження < дзеркало порту
3. Можливість захоплення, реплікації, агрегації, переадресації: мережевий відгалуження > дзеркало порту
4. Затримка переадресації трафіку: мережевий відвід < дзеркало порту
5. Можливість попередньої обробки трафіку: Network Tap > Port Mirror
Час публікації: 30 березня 2022 р.
