Для анализа сетевого трафика необходимо отправить сетевой пакет в NTOP/NPROBE или средства внеполосной сетевой безопасности и мониторинга. Есть два решения этой проблемы:
Зеркальное отображение портов(также известный как SPAN)
Сетевой кран(также известный как перехватчик репликации, перехватчик агрегации, активный перехватчик, медный перехватчик, перехватчик Ethernet и т. д.)
Прежде чем объяснять различия между двумя решениями (зеркало портов и перехватчик сети), важно понять, как работает Ethernet. На скорости 100 Мбит и выше хосты обычно говорят в полнодуплексном режиме, что означает, что один хост может отправлять (Tx) и получать (Rx) одновременно. Это означает, что по кабелю 100 Мбит, подключенному к одному хосту, общий объем сетевого трафика, который один хост может отправить/получить (Tx/Rx)) составляет 2 × 100 Мбит = 200 Мбит.
Зеркалирование портов — это активная репликация пакетов, что означает, что сетевое устройство физически отвечает за копирование пакета на зеркалируемый порт.
Это означает, что устройство должно выполнить эту задачу, используя некоторый ресурс (например, ЦП), и оба направления трафика будут реплицироваться на один и тот же порт. Как упоминалось ранее, в полнодуплексном соединении это означает, что
А -> Б и Б -> А
Сумма A не превысит скорость сети до того, как произойдет потеря пакетов. Это связано с тем, что физически нет места для копирования пакетов. Оказывается, зеркалирование портов — отличный метод, поскольку его могут выполнять многие коммутаторы (но не все), поскольку большинство коммутаторов имеют недостаток потери пакетов, если вы контролируете канал с загрузкой более 50% или зеркалируете порты на более быстрый порт (например, зеркально отображать порты 100 Мбит на порт 1 Гбит). Не говоря уже о том, что зеркалирование пакетов может потребовать замены ресурсов коммутатора, что может нагрузить устройство и привести к снижению производительности обмена. Обратите внимание, что вы можете подключить 1 порт к одному порту или 1 VLAN к одному порту, но обычно вы не можете скопировать много портов в 1. (Поскольку зеркало пакетов) отсутствует.
Сетевой TAP (точка доступа к терминалу)— это полностью пассивное аппаратное устройство, которое может пассивно перехватывать сетевой трафик. Обычно он используется для мониторинга трафика между двумя точками в сети. Если сеть между этими двумя точками состоит из физического кабеля, сетевой TAP может быть лучшим способом захвата трафика.
Сетевой TAP имеет как минимум три порта: порт A, порт B и порт монитора. Чтобы разместить ответвитель между точками A и B, сетевой кабель между точкой A и точкой B заменяется парой кабелей, один из которых идет к порту A TAP, а другой - к порту B TAP. TAP передает весь трафик между двумя точками сети, поэтому они по-прежнему подключены друг к другу. TAP также копирует трафик на свой порт монитора, что позволяет устройству анализа его прослушивать.
Сетевые TAP обычно используются устройствами мониторинга и сбора данных, такими как APS. TAP также можно использовать в приложениях безопасности, поскольку они ненавязчивы, не обнаруживаются в сети, могут работать с полнодуплексными и частными сетями и обычно пропускают трафик, даже если ответвитель перестает работать или теряет питание. .
Поскольку порты Network Taps не принимают, а только передают, коммутатор понятия не имеет, кто сидит за портами. В результате пакеты рассылаются на все порты. Таким образом, если вы подключите устройство мониторинга к коммутатору, оно будет получать все пакеты. Обратите внимание, что этот механизм работает, если устройство мониторинга не отправляет коммутатору ни одного пакета; в противном случае коммутатор будет считать, что прослушиваемые пакеты не предназначены для такого устройства. Для этого вы можете либо использовать сетевой кабель, к которому вы не подключили провода TX, либо использовать сетевой интерфейс без IP (и без DHCP), который вообще не передает пакеты. Наконец, обратите внимание: если вы хотите использовать перехват для предотвращения потери пакетов, то либо не объединяйте направления, либо используйте коммутатор, в котором прослушиваемые направления медленнее (например, 100 Мбит), чем порт объединения (например, 1 Гбит).
Итак, как захватывать сетевой трафик? Сетевые ответвители против зеркала портов коммутатора
1- Простая настройка: Network Tap > Port Mirror.
2- Влияние на производительность сети: сетевой перехват <зеркало портов
3- Захват, репликация, агрегация, возможность пересылки: сетевой кран > зеркало порта.
4- Задержка пересылки трафика: Network Tap <Port Mirror
5. Возможность предварительной обработки трафика: Network Tap > Port Mirror.
Время публикации: 30 марта 2022 г.
