Για να αναλύσετε την κίνηση δικτύου, είναι απαραίτητο να στείλετε το πακέτο δικτύου στο NTOP/NPROBE ή στο Out-of-band Network Security and Monitoring Tools. Υπάρχουν δύο λύσεις σε αυτό το πρόβλημα:
Κατοπτρισμός θυρών(επίσης γνωστό ως SPAN)
Δίκτυο Πατήστε(επίσης γνωστό ως Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, κ.λπ.)
Πριν εξηγήσουμε τις διαφορές μεταξύ των δύο λύσεων (Port Mirror και Network Tap), είναι σημαντικό να κατανοήσουμε πώς λειτουργεί το Ethernet. Στα 100Mbit και άνω, οι κεντρικοί υπολογιστές συνήθως μιλούν σε πλήρη αμφίδρομη επικοινωνία, που σημαίνει ότι ένας κεντρικός υπολογιστής μπορεί να στέλνει (Tx) και να λαμβάνει (Rx) ταυτόχρονα. Αυτό σημαίνει ότι σε ένα καλώδιο 100 Mbit συνδεδεμένο σε έναν κεντρικό υπολογιστή, η συνολική ποσότητα της κίνησης δικτύου που ένας κεντρικός υπολογιστής μπορεί να στείλει/λάβει (Tx/Rx)) είναι 2 × 100 Mbit = 200 Mbit.
Το κατοπτρισμό θύρας είναι η ενεργή αναπαραγωγή πακέτων, που σημαίνει ότι η συσκευή δικτύου είναι φυσικά υπεύθυνη για την αντιγραφή του πακέτου στην κατοπτρισμένη θύρα.
Αυτό σημαίνει ότι η συσκευή πρέπει να εκτελέσει αυτήν την εργασία χρησιμοποιώντας κάποιον πόρο (όπως η CPU) και και οι δύο κατευθύνσεις κυκλοφορίας θα αναπαραχθούν στην ίδια θύρα. Όπως αναφέρθηκε προηγουμένως, σε μια πλήρη αμφίδρομη σύνδεση, αυτό σημαίνει ότι
Α - > Β και Β -> Α
Το άθροισμα του A δεν θα υπερβεί την ταχύτητα δικτύου πριν συμβεί απώλεια πακέτων. Αυτό συμβαίνει επειδή δεν υπάρχει φυσικά χώρος για την αντιγραφή πακέτων. Αποδεικνύεται ότι η δημιουργία κατοπτρισμού θυρών είναι μια εξαιρετική τεχνική, καθώς μπορεί να εκτελεστεί από πολλούς διακόπτες (αλλά όχι από όλους), επειδή οι περισσότεροι διακόπτες έχουν το μειονέκτημα της απώλειας πακέτων, εάν παρακολουθείτε μια σύνδεση με φορτίο πάνω από 50%, ή δημιουργείτε κατοπτρισμό των θυρών σε μια ταχύτερη θύρα (π.χ. δημιουργήστε κατοπτρισμό θυρών 100 Mbit σε μια θύρα 1 Gbit). Για να μην αναφέρουμε ότι η δημιουργία κατοπτρισμού πακέτων μπορεί να απαιτεί ανταλλαγή πόρων διακοπτών, η οποία μπορεί να φορτώσει τη συσκευή και να προκαλέσει υποβάθμιση της απόδοσης της ανταλλαγής. Σημειώστε ότι μπορείτε να συνδέσετε 1 θύρα σε μία θύρα ή 1 VLAN σε μία θύρα, αλλά γενικά δεν μπορείτε να αντιγράψετε πολλές θύρες σε 1. (Έτσι, καθώς ο κατοπτρισμός πακέτων) λείπει.
Ένα σημείο πρόσβασης τερματικού δικτύου (TAP)είναι μια πλήρως παθητική συσκευή υλικού, η οποία μπορεί να καταγράφει παθητικά την κίνηση σε ένα δίκτυο. Χρησιμοποιείται συνήθως για την παρακολούθηση της κίνησης μεταξύ δύο σημείων στο δίκτυο. Εάν το δίκτυο μεταξύ αυτών των δύο σημείων αποτελείται από ένα φυσικό καλώδιο, ένα TAP δικτύου μπορεί να είναι ο καλύτερος τρόπος για τη λήψη κίνησης.
Το TAP δικτύου έχει τουλάχιστον τρεις θύρες: μια θύρα Α, μια θύρα Β και μια θύρα παρακολούθησης. Για να τοποθετήσετε μια σύνδεση μεταξύ των σημείων Α και Β, το καλώδιο δικτύου μεταξύ του σημείου Α και του σημείου Β αντικαθίσταται με ένα ζεύγος καλωδίων, το ένα που πηγαίνει στη θύρα Α του TAP και το άλλο στη θύρα Β του TAP. Το TAP μεταφέρει όλη την κίνηση μεταξύ των δύο σημείων δικτύου, έτσι ώστε να εξακολουθούν να είναι συνδεδεμένα μεταξύ τους. Το TAP αντιγράφει επίσης την κίνηση στη θύρα παρακολούθησης, επιτρέποντας έτσι σε μια συσκευή ανάλυσης να ακούει.
Τα TAP δικτύου χρησιμοποιούνται συνήθως από συσκευές παρακολούθησης και συλλογής, όπως τα APS. Τα TAP μπορούν επίσης να χρησιμοποιηθούν σε εφαρμογές ασφαλείας επειδή δεν είναι ενοχλητικά, δεν ανιχνεύονται στο δίκτυο, μπορούν να διαχειριστούν πλήρως αμφίδρομα και μη κοινόχρηστα δίκτυα και συνήθως θα διοχετεύουν κίνηση ακόμη και αν η βρύση σταματήσει να λειτουργεί ή χάσει ρεύμα.
Καθώς οι θύρες Network Taps δεν λαμβάνουν αλλά μόνο μεταδίδουν, ο διακόπτης δεν έχει ιδέα ποιος βρίσκεται πίσω από τις θύρες. Το αποτέλεσμα είναι ότι μεταδίδει τα πακέτα σε όλες τις θύρες. Επομένως, εάν συνδέσετε τη συσκευή παρακολούθησης στον διακόπτη, η εν λόγω συσκευή θα λάβει όλα τα πακέτα. Σημειώστε ότι αυτός ο μηχανισμός λειτουργεί εάν η συσκευή παρακολούθησης δεν στείλει κανένα πακέτο στον διακόπτη. Διαφορετικά, ο διακόπτης θα υποθέσει ότι τα πακέτα που έχουν ληφθεί δεν προορίζονται για αυτήν τη συσκευή. Για να το πετύχετε αυτό, μπορείτε είτε να χρησιμοποιήσετε ένα καλώδιο δικτύου στο οποίο δεν έχετε συνδέσει τα καλώδια TX, είτε να χρησιμοποιήσετε μια διεπαφή δικτύου χωρίς IP (και χωρίς DHCP) που δεν μεταδίδει καθόλου πακέτα. Τέλος, σημειώστε ότι εάν θέλετε να χρησιμοποιήσετε μια λαβή για να μην χάνετε πακέτα, τότε είτε μην συγχωνεύετε οδηγίες είτε χρησιμοποιήστε έναν διακόπτη όπου οι οδηγίες που έχουν ληφθεί είναι πιο αργές (π.χ. 100 Mbit) από τη θύρα συγχώνευσης (π.χ. 1 Gbit).
Λοιπόν, πώς να καταγράψετε την κίνηση δικτύου; Network Taps vs Switch Ports Mirror
1- Εύκολη διαμόρφωση: Δίκτυο Πατήστε > Θύρα Mirror
2- Επίδραση στην απόδοση δικτύου: Σύνδεση δικτύου < Κάτοπτρο θύρας
3- Δυνατότητα καταγραφής, αναπαραγωγής, συσσωμάτωσης, προώθησης: Δίκτυο Πατήστε > Θύρα Mirror
4- Λανθάνων χρόνος προώθησης κυκλοφορίας: Δίκτυο < Θύρα κατοπτρισμού
5- Χωρητικότητα προεπεξεργασίας κίνησης: Network Tap > Port Mirror
Ώρα δημοσίευσης: 30 Μαρτίου 2022
