English

Καταγραφή κίνησης δικτύου για παρακολούθηση, ανάλυση και ασφάλεια δικτύου: TAP vs SPAN

Η κύρια διαφορά μεταξύ της λήψης πακέτων χρησιμοποιώντας θύρες Network TAP και SPAN.

Κατοπτρισμός θυρών(επίσης γνωστό ως SPAN)

Δίκτυο Πατήστε(επίσης γνωστό ως Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, κ.λπ.)TAP (Σημείο Πρόσβασης Τερματικού)είναι μια πλήρως παθητική συσκευή υλικού, η οποία μπορεί να καταγράφει παθητικά την κίνηση σε ένα δίκτυο. Χρησιμοποιείται συνήθως για την παρακολούθηση της κίνησης μεταξύ δύο σημείων στο δίκτυο. Εάν το δίκτυο μεταξύ αυτών των δύο σημείων αποτελείται από ένα φυσικό καλώδιο, ένα TAP δικτύου μπορεί να είναι ο καλύτερος τρόπος για τη λήψη κίνησης.

Πριν εξηγήσουμε τις διαφορές μεταξύ των δύο λύσεων (Port Mirror και Network Tap), είναι σημαντικό να κατανοήσουμε πώς λειτουργεί το Ethernet. Στα 100Mbit και άνω, οι κεντρικοί υπολογιστές συνήθως μιλούν σε πλήρη αμφίδρομη επικοινωνία, που σημαίνει ότι ένας κεντρικός υπολογιστής μπορεί να στέλνει (Tx) και να λαμβάνει (Rx) ταυτόχρονα. Αυτό σημαίνει ότι σε ένα καλώδιο 100 Mbit συνδεδεμένο σε έναν κεντρικό υπολογιστή, η συνολική ποσότητα της κίνησης δικτύου που ένας κεντρικός υπολογιστής μπορεί να στείλει/λάβει (Tx/Rx)) είναι 2 × 100 Mbit = 200 Mbit.

Το κατοπτρισμό θύρας είναι η ενεργή αναπαραγωγή πακέτων, που σημαίνει ότι η συσκευή δικτύου είναι φυσικά υπεύθυνη για την αντιγραφή του πακέτου στην κατοπτρισμένη θύρα.

TAP SPAN

Λήψη επισκεψιμότητας: TAP vs SPAN
Κατά την παρακολούθηση της κυκλοφορίας δικτύου, εάν δεν θέλετε να ενεργοποιήσετε άμεσα την υποστήριξη ενώ ένας χρήστης επεξεργάζεται μια συναλλαγή, έχετε δύο κύριες επιλογές. Στο ακόλουθο άρθρο, θα δώσουμε μια επισκόπηση του TAP (Test Access Point) και του SPAN (Switch Port Analyzer). Για μια βαθύτερη ανάλυση, ο ειδικός στην επιθεώρηση πακέτων Timo'Neill έχει δημοσιεύσει αρκετά άρθρα στο lovemytool.com που αναλύουν λεπτομερώς, αλλά εδώ θα ακολουθήσουμε μια πιο γενική προσέγγιση.

ΣΠΙΘΑΜΗ
Το κατοπτρισμό θυρών είναι μια μέθοδος παρακολούθησης της κυκλοφορίας δικτύου προωθώντας ένα αντίγραφο κάθε εισερχόμενου ή/και εξερχόμενου πακέτου από μία ή περισσότερες θύρες (ή VLans) ενός διακόπτη σε μια άλλη θύρα που είναι συνδεδεμένη με έναν αναλυτή κυκλοφορίας δικτύου. Τα spans χρησιμοποιούνται συχνά σε απλούστερα συστήματα για την ταυτόχρονη παρακολούθηση πολλαπλών τοποθεσιών. Ο ακριβής αριθμός μεταδόσεων δικτύου που μπορεί να παρακολουθεί εξαρτάται από το πού είναι εγκατεστημένο το SPAN σε σχέση με τον εξοπλισμό του κέντρου δεδομένων. Πιθανότατα θα βρείτε αυτό που ψάχνετε, αλλά είναι εύκολο να βρεθείτε με πάρα πολλά δεδομένα. Για παράδειγμα, είναι πιθανό να βρείτε πολλά αντίγραφα των ίδιων δεδομένων σε ένα ολόκληρο VLAN. Αυτό δυσχεραίνει την αντιμετώπιση προβλημάτων LAN και επηρεάζει επίσης την ταχύτητα των επεξεργαστών του διακόπτη ή επηρεάζει το Ethernet μέσω της ανίχνευσης τοποθέτησης. Βασικά, όσο περισσότερα spans, τόσο πιο πιθανό είναι να χάσετε πακέτα. Σε σύγκριση με τα taps, τα spans μπορούν να διαχειριστούν εξ αποστάσεως, πράγμα που σημαίνει ότι αφιερώνεται λιγότερος χρόνος στην αλλαγή διαμορφώσεων, αλλά εξακολουθούν να απαιτούνται μηχανικοί δικτύου.

Οι θύρες SPAN δεν είναι μια παθητική τεχνολογία, όπως ισχυρίζονται ορισμένοι, επειδή μπορούν να έχουν άλλες μετρήσιμες επιπτώσεις στην κίνηση δικτύου, όπως:
- Ώρα για αλλαγή της αλληλεπίδρασης πλαισίου

- Απόρριψη πακέτων λόγω υπερβολικών αναζητήσεων

- Τα κατεστραμμένα πακέτα απορρίπτονται χωρίς προειδοποίηση, εμποδίζοντας την ανάλυση
Επομένως, οι θύρες SPAN είναι πιο κατάλληλες για περιπτώσεις όπου η απόρριψη πακέτων δεν επηρεάζει την ανάλυση ή όπου λαμβάνεται υπόψη το κόστος.

ΠΑΡΑΚΕΝΤΗΣΗ
Αντίθετα, οι βρύσες (taps) πρέπει να δαπανήσουν χρήματα για υλικό εξαρχής, αλλά δεν απαιτούν πολλή ρύθμιση. Πράγματι, επειδή είναι παθητικές, μπορούν να συνδεθούν και να αποσυνδεθούν από το δίκτυο χωρίς να το επηρεάσουν. Οι βρύσες (taps) είναι συσκευές υλικού που παρέχουν έναν τρόπο πρόσβασης σε δεδομένα που ρέουν μέσω ενός δικτύου υπολογιστών και χρησιμοποιούνται συνήθως για σκοπούς παρακολούθησης της ασφάλειας δικτύου και της απόδοσης. Η παρακολουθούμενη κίνηση ονομάζεται κίνηση "pass-through" και η θύρα που χρησιμοποιείται για την παρακολούθηση ονομάζεται "monitoring port". Για να διερευνηθεί το δίκτυο με μεγαλύτερη σαφήνεια, οι βρύσες μπορούν να τοποθετηθούν μεταξύ δρομολογητών και διακοπτών.
Επειδή το TAP δεν επηρεάζει τα πακέτα, μπορεί να θεωρηθεί ως ένας πραγματικά παθητικός τρόπος για την παρακολούθηση της κυκλοφορίας δικτύου.
Υπάρχουν βασικά τρεις τύποι λύσεων TAP:

- Διαχωριστής δικτύου (1:1)

- Συνολικό TAP (πολλαπλό: 1)

- Αναγέννηση TAP (1: πολλαπλή)

Το TAP αναπαράγει την κίνηση σε ένα μόνο παθητικό εργαλείο παρακολούθησης ή σε μια συσκευή αναμετάδοσης πακέτων δικτύου υψηλής πυκνότητας και εξυπηρετεί πολλαπλά (συχνά πολλαπλά) εργαλεία δοκιμών QOS, εργαλεία παρακολούθησης δικτύου και εργαλεία ανίχνευσης δικτύου όπως το Wireshark.
Επιπλέον, οι τύποι TAP ποικίλλουν ανάλογα με τον τύπο του καλωδίου, συμπεριλαμβανομένου του οπτικού ινών TAP και του gigabit χαλκού TAP, τα οποία λειτουργούν ουσιαστικά με τον ίδιο τρόπο, μεταφέροντας μέρος του σήματος στον αναλυτή κίνησης δικτύου, ενώ το κύριο μοντέλο συνεχίζει να μεταδίδει χωρίς διακοπή. Για το οπτικό ίνα TAP, πρόκειται για τον διαχωρισμό της δέσμης σε δύο, ενώ στο σύστημα χάλκινων καλωδίων, πρόκειται για την αναπαραγωγή του ηλεκτρικού σήματος.

Σύγκριση των TAP και SPAN

Καταρχάς, η θύρα SPAN δεν είναι κατάλληλη για μια αμφίδρομη σύνδεση 1G, και ακόμη και όταν είναι κάτω από τη μέγιστη χωρητικότητά της, απορρίπτει γρήγορα πακέτα επειδή είναι υπερφορτωμένη ή απλώς επειδή ο διακόπτης δίνει προτεραιότητα στις κανονικές ημερομηνίες από θύρα σε θύρα έναντι των δεδομένων θύρας SPAN. Σε αντίθεση με τις συνδέσεις δικτύου, οι θύρες SPAN φιλτράρουν τα σφάλματα του φυσικού επιπέδου, καθιστώντας ορισμένους τύπους ανάλυσης πιο δύσκολους, και όπως έχουμε δει, οι λανθασμένοι χρόνοι αύξησης και τα αλλαγμένα πλαίσια μπορούν να προκαλέσουν άλλα προβλήματα. Από την άλλη πλευρά, το TAP μπορεί να λειτουργήσει μια αμφίδρομη σύνδεση 1G.

Το TAP μπορεί επίσης να εκτελέσει πλήρη καταγραφή πακέτων και να εκτελέσει εις βάθος έλεγχο πακέτων για πρωτόκολλα, παραβιάσεις, εισβολές κ.λπ. Έτσι, τα δεδομένα TAP μπορούν να χρησιμοποιηθούν ως αποδεικτικά στοιχεία στο δικαστήριο, ενώ τα δεδομένα θύρας SPAN δεν μπορούν.
Η ασφάλεια είναι μια άλλη πτυχή όπου υπάρχουν διαφορές μεταξύ των δύο τεχνικών. Οι θύρες SPAN συνήθως διαμορφώνονται για μονόδρομη επικοινωνία, αλλά μπορούν επίσης να λαμβάνουν επικοινωνία σε ορισμένες περιπτώσεις, προκαλώντας σοβαρά τρωτά σημεία. Αντίθετα, το TAP δεν είναι διευθυνσιοδοτήσιμο και δεν διαθέτει διεύθυνση IP, επομένως δεν μπορεί να παραβιαστεί.

Οι θύρες SPAN συνήθως δεν περνούν ετικέτες VLAN, γεγονός που μπορεί να δυσχεράνει την ανίχνευση βλαβών VLAN, αλλά οι συνδέσεις δεν μπορούν να δουν ολόκληρο το δίκτυο VLAN ταυτόχρονα. Εάν δεν χρησιμοποιηθούν συγκεντρωτικές συνδέσεις, το TAP δεν θα παρέχει την ίδια ιχνηλάτηση και για τα δύο κανάλια, αλλά πρέπει να δοθεί προσοχή στην ανίχνευση υπερφόρτωσης. Υπάρχουν συγκεντρωτικές συνδέσεις, όπως το Booster για Profitap, που συγκεντρώνουν οκτώ θύρες 10/100/1G σε μια έξοδο 1G-10G.

Το Booster μπορεί να εισάγει πακέτα εισάγοντας ετικέτες VLAN. Με αυτόν τον τρόπο, οι πληροφορίες θύρας προέλευσης κάθε πακέτου θα προωθούνται στον αναλυτή.

Οι θύρες SPAN εξακολουθούν να αποτελούν ένα εργαλείο που θα χρησιμοποιούν οι διαχειριστές δικτύου, αλλά εάν η ταχύτητα και η αξιόπιστη πρόσβαση σε όλα τα δεδομένα δικτύου είναι κρίσιμες, το TAP είναι η καλύτερη επιλογή. Όταν αποφασίζετε ποια προσέγγιση θα ακολουθήσετε, οι θύρες SPAN είναι πιο κατάλληλες για δίκτυα με χαμηλή αξιοποίηση, καθώς η απώλεια πακέτων δεν επηρεάζει την ανάλυση ή είναι προαιρετικές σε περιπτώσεις όπου το κόστος αποτελεί πρόβλημα. Ωστόσο, σε δίκτυα με υψηλή κίνηση, η χωρητικότητα, η ασφάλεια και η αξιοπιστία του TAP θα παρέχουν πλήρη ορατότητα στην κίνηση στο δίκτυό σας χωρίς τον φόβο απώλειας πακέτων ή φιλτραρίσματος σφαλμάτων φυσικού επιπέδου.

ΠΑΡΑΚΕΝΤΗΣΗ

 

○ Πλήρως ορατό

○ Αντιγραφή όλης της κίνησης (όλα τα πακέτα όλων των μεγεθών και τύπων)

○ Παθητικό, μη παρεμβατικό (δεν αλλάζει δεδομένα)

○ Σε σειρά, δεν χρησιμοποιούνται θύρες διακόπτη για την αναπαραγωγή αμφίδρομης κυκλοφορίας στις καλωδιώσεις. Εύκολη εγκατάσταση (plug and play).

○ Δεν είναι ευάλωτο σε χάκερ (αόρατη, απομονωμένη συσκευή παρακολούθησης από το δίκτυο, χωρίς διεύθυνση IP/MAC)

○ Κλιμακωτό

○ Κατάλληλο για κάθε περίσταση

ΣΠΙΘΑΜΗ

 

○ Μερική ορατότητα

○ Δεν αντιγράφεται όλη η κίνηση (αφαιρούνται ορισμένα μεγέθη και τύποι πακέτων)

○ Μη παθητικό (αλλαγή χρονισμού πακέτων, αύξηση της καθυστέρησης)

○ Χρήση θύρας διακόπτη (κάθε θύρα SPAN χρησιμοποιεί μια θύρα διακόπτη)

○ Αδυναμία χειρισμού αμφίδρομης επικοινωνίας (τα πακέτα που χάνονται σε περίπτωση υπερφόρτωσης ενδέχεται επίσης να επηρεάσουν τη λειτουργία του πρωτεύοντος διακόπτη)

○ Οι μηχανικοί πρέπει να διαμορφώσουν

○ Μη ασφαλές (Το σύστημα παρακολούθησης αποτελεί μέρος του δικτύου, πιθανά προβλήματα ασφαλείας)

○ Δεν είναι κλιμακωτό

○ Εφικτό μόνο υπό ορισμένες συνθήκες

Μπορεί να σας ενδιαφέρει το σχετικό άρθρο: Πώς να καταγράψετε την κίνηση δικτύου; Network Tap vs Port Mirror

Ώρα δημοσίευσης: 09 Ιουνίου 2025
Πατήστε enter για αναζήτηση ή ESC για κλείσιμο