Для анализа сетевого трафика необходимо отправить сетевой пакет в NTOP/NPROBE или Out-of-band Network Security and Monitoring Tools. Есть два решения этой проблемы:
Зеркалирование портов(также известный как СПАН)
Сетевой кран(также известный как репликационный ответвитель, агрегационный ответвитель, активный ответвитель, медный ответвитель, Ethernet-ответвитель и т. д.)
Прежде чем объяснять различия между двумя решениями (Port Mirror и Network Tap), важно понять, как работает Ethernet. На скорости 100 Мбит и выше хосты обычно работают в режиме полного дуплекса, что означает, что один хост может отправлять (Tx) и получать (Rx) одновременно. Это означает, что на 100-мегабитном кабеле, подключенном к одному хосту, общий объем сетевого трафика, который один хост может отправлять/получать (Tx/Rx)), составляет 2 × 100 Мбит = 200 Мбит.
Зеркалирование портов представляет собой активную репликацию пакетов, что означает, что сетевое устройство физически отвечает за копирование пакета на зеркалируемый порт.
Это означает, что устройство должно выполнить эту задачу, используя некоторый ресурс (например, ЦП), и оба направления трафика будут реплицированы на один и тот же порт. Как упоминалось ранее, в Полнодуплексной связи, это означает, что
А -> Б и Б -> А
Сумма A не превысит скорость сети до того, как произойдет потеря пакетов. Это происходит потому, что физически нет места для копирования пакетов. Оказывается, что зеркалирование портов — это отличная техника, поскольку ее могут выполнять многие коммутаторы (но не все), поскольку большинство коммутаторов с недостатком потери пакетов, если вы отслеживаете канал с нагрузкой более 50% или зеркалируете порты на более быстрый порт (например, зеркалируете 100-мегабитные порты на 1-гигабитный порт). Не говоря уже о том, что зеркалирование пакетов может потребовать обмена ресурсами коммутаторов, что может нагрузить устройство и привести к снижению производительности обмена. Обратите внимание, что вы можете подключить 1 порт к одному порту или 1 VLAN к одному порту, но вы, как правило, не можете копировать много портов на 1. (Поскольку зеркалирование пакетов) отсутствует.
Сетевой TAP (терминальная точка доступа)полностью пассивное аппаратное устройство, которое может пассивно захватывать трафик в сети. Обычно используется для мониторинга трафика между двумя точками в сети. Если сеть между этими двумя точками состоит из физического кабеля, сетевой TAP может быть лучшим способом захвата трафика.
Сетевой TAP имеет как минимум три порта: порт A, порт B и порт монитора. Чтобы разместить ответвитель между точками A и B, сетевой кабель между точками A и B заменяется парой кабелей, один из которых идет к порту A TAP, а другой — к порту B TAP. TAP передает весь трафик между двумя сетевыми точками, поэтому они по-прежнему подключены друг к другу. TAP также копирует трафик на свой порт монитора, что позволяет устройству анализа прослушивать.
Сетевые TAP обычно используются устройствами мониторинга и сбора данных, такими как APS. TAP также могут использоваться в приложениях безопасности, поскольку они ненавязчивы, не обнаруживаются в сети, могут работать с полнодуплексными и несовместно используемыми сетями и обычно пропускают трафик, даже если ответвитель перестает работать или теряет питание.
Поскольку порты сетевых ответвителей не принимают, а только передают, коммутатор не имеет ни малейшего представления о том, кто находится за портами. Следствием этого является то, что он транслирует пакеты на все порты. Поэтому, если вы подключите свое устройство мониторинга к коммутатору, такое устройство будет получать все пакеты. Обратите внимание, что этот механизм работает, если устройство мониторинга не отправляет никаких пакетов на коммутатор; в противном случае коммутатор будет считать, что перехваченные пакеты не предназначены для этого устройства. Чтобы добиться этого, вы можете либо использовать сетевой кабель, к которому вы не подключили провода TX, либо использовать сетевой интерфейс без IP (и DHCP), который вообще не передает пакеты. Наконец, обратите внимание, что если вы хотите использовать ответвитель, чтобы не терять пакеты, то либо не объединяйте направления, либо используйте коммутатор, в котором перехваченные направления медленнее (например, 100 Мбит), чем порт объединения (например, 1 Гбит).
Итак, как перехватывать сетевой трафик? Сетевые ответвители против зеркалирования портов коммутатора
1- Простая настройка: Сетевой ответвитель > Зеркало порта
2- Влияние на производительность сети: сетевой ответвитель < зеркалирование портов
3. Возможность захвата, репликации, агрегации, пересылки: сетевой ответвитель > зеркалирование портов
4- Задержка пересылки трафика: сетевой ответвитель < зеркалирование портов
5- Мощность предварительной обработки трафика: сетевой ответвитель > зеркало порта
Время публикации: 30-03-2022