Для анализа сетевого трафика необходимо отправить сетевой пакет в NTOP/NPROBE или Out-of-band Network Security and Monitoring Tools. Есть два решения этой проблемы:
Зеркалирование портов(также известный как SPAN)
Сетевой кран(также известный как репликационный ответвитель, агрегационный ответвитель, активный ответвитель, медный ответвитель, Ethernet-ответвитель и т. д.)
Прежде чем объяснять различия между двумя решениями (Port Mirror и Network Tap), важно понять, как работает Ethernet. На скорости 100 Мбит/с и выше хосты обычно работают в полнодуплексном режиме, то есть один хост может одновременно отправлять (Tx) и принимать (Rx) данные. Это означает, что при подключении к одному хосту по кабелю со скоростью 100 Мбит/с общий объём сетевого трафика, который один хост может отправить/получить (Tx/Rx), составляет 2 × 100 Мбит = 200 Мбит/с.
Зеркалирование портов — это активная репликация пакетов, что означает, что сетевое устройство физически отвечает за копирование пакета на зеркалируемый порт.
Это означает, что устройство должно выполнить эту задачу, используя определённые ресурсы (например, процессор), и оба направления трафика будут реплицироваться на один и тот же порт. Как упоминалось ранее в разделе «Полнодуплексное соединение», это означает, что
А -> Б и Б -> А
Сумма A не превысит скорость сети до того, как произойдет потеря пакетов. Это связано с физическим отсутствием места для копирования пакетов. Оказывается, зеркалирование портов — отличный метод, поскольку его могут выполнять многие коммутаторы (но не все), поскольку большинство коммутаторов имеют недостаток в виде потери пакетов, если вы отслеживаете канал с нагрузкой более 50% или зеркалируете порты на более быстрый порт (например, зеркалируете 100-мегабитные порты на 1-гигабитный порт). Не говоря уже о том, что зеркалирование пакетов может потребовать обмена ресурсами коммутаторов, что может нагрузить устройство и привести к снижению производительности обмена. Обратите внимание, что вы можете подключить 1 порт к одному порту или 1 VLAN к одному порту, но вы, как правило, не можете копировать много портов на 1. (Поэтому зеркалирование пакетов) отсутствует.
Сетевая точка доступа (TAP)Это полностью пассивное аппаратное устройство, способное пассивно перехватывать трафик в сети. Оно обычно используется для мониторинга трафика между двумя точками сети. Если сеть между этими двумя точками представляет собой физический кабель, сетевой ответвитель может быть наилучшим способом перехвата трафика.
Сетевой ответвитель имеет как минимум три порта: порт A, порт B и порт мониторинга. Для организации ответвителя между точками A и B сетевой кабель между точками A и B заменяется парой кабелей: один подключается к порту A ответвителя, а другой — к порту B ответвителя. Ответвитель пропускает весь трафик между двумя сетевыми точками, сохраняя при этом соединение. Ответвитель также копирует трафик на свой порт мониторинга, что позволяет устройству анализа осуществлять прослушивание.
Сетевые ответвители трафика (TAP) обычно используются устройствами мониторинга и сбора данных, такими как APS. TAP также могут использоваться в системах безопасности, поскольку они ненавязчивы, не обнаруживаются в сети, могут работать в полнодуплексных и несовместно используемых сетях и, как правило, пропускают трафик даже в случае выхода ответвителя из строя или отключения питания.
Поскольку порты сетевых ответвителей не принимают, а только передают, коммутатор не имеет ни малейшего представления о том, кто находится за портами. Следствием этого является широковещательная рассылка пакетов на все порты. Поэтому, если вы подключите устройство мониторинга к коммутатору, такое устройство будет получать все пакеты. Обратите внимание, что этот механизм работает, если устройство мониторинга не отправляет никаких пакетов коммутатору; в противном случае коммутатор предположит, что перехваченные пакеты не предназначены для этого устройства. Чтобы добиться этого, вы можете либо использовать сетевой кабель, к которому вы не подключили провода TX, либо использовать сетевой интерфейс без IP (и DHCP), который вообще не передает пакеты. Наконец, обратите внимание, что если вы хотите использовать ответвитель, чтобы не терять пакеты, то либо не объединяйте направления, либо используйте коммутатор, в котором перехваченные направления медленнее (например, 100 Мбит), чем порт объединения (например, 1 Гбит).
Итак, как перехватывать сетевой трафик? Сетевые ответвители против зеркалирования портов коммутатора
1. Простая настройка: сетевой ответвитель > зеркало портов
2. Влияние на производительность сети: сетевой ответвитель < зеркалирование портов
3. Возможность захвата, репликации, агрегации и пересылки: сетевой ответвитель > зеркалирование портов
4. Задержка пересылки трафика: сетевой ответвитель < зеркалирование портов
5. Мощность предварительной обработки трафика: сетевой ответвитель > зеркало портов
Время публикации: 30 марта 2022 г.
