Kako bi se analizirao mrežni promet, potrebno je poslati mrežni paket na NTOP/NPROBE ili Out-of-band Network Security and Monitoring Tools. Postoje dva rješenja za ovaj problem:
Zrcaljenje portova(također poznat kao SPAN)
Mrežni dodir(također poznat kao replikacijski priključak, agregacijski priključak, aktivni priključak, bakreni priključak, Ethernet priključak itd.)
Prije objašnjenja razlika između dva rješenja (Port Mirror i Network Tap), važno je razumjeti kako Ethernet radi. Pri brzinama od 100 Mbit i više, hostovi obično komuniciraju u punom dupleksu, što znači da jedan host može istovremeno slati (Tx) i primati (Rx). To znači da na kabelu od 100 Mbit spojenom na jedan host, ukupna količina mrežnog prometa koju jedan host može slati/primati (Tx/Rx) iznosi 2 × 100 Mbit = 200 Mbit.
Zrcaljenje porta je aktivna replikacija paketa, što znači da je mrežni uređaj fizički odgovoran za kopiranje paketa na zrcaljeni port.
To znači da uređaj mora izvršiti ovaj zadatak koristeći neki resurs (kao što je CPU), a oba smjera prometa će se replicirati na isti port. Kao što je ranije spomenuto, u punoj dupleksnoj vezi to znači da
A - > B i B -> A
Zbroj A neće premašiti brzinu mreže prije nego što dođe do gubitka paketa. To je zato što fizički nema prostora za kopiranje paketa. Ispostavilo se da je zrcaljenje portova izvrsna tehnika jer je mogu izvoditi mnogi preklopnici (ali ne svi), jer većina preklopnika ima nedostatak gubitka paketa, ako pratite vezu s preko 50% opterećenja ili zrcaljite portove na brži port (npr. zrcaljite 100 Mbit portove na 1 Gbit port). A da ne spominjemo da zrcaljenje paketa može zahtijevati razmjenu resursa preklopnika, što može opteretiti uređaj i uzrokovati smanjenje performansi razmjene. Imajte na umu da možete spojiti 1 port na jedan port ili 1 VLAN na jedan port, ali općenito ne možete kopirati mnogo portova na 1. (Dakle, zrcaljenje paketa) nedostaje.
Mrežna TAP (terminalna pristupna točka)je potpuno pasivni hardverski uređaj koji može pasivno snimati promet na mreži. Obično se koristi za praćenje prometa između dvije točke u mreži. Ako se mreža između te dvije točke sastoji od fizičkog kabela, mrežni TAP može biti najbolji način za snimanje prometa.
Mrežni TAP ima najmanje tri priključka: A priključak, B priključak i priključak za praćenje. Da bi se postavila grana između točaka A i B, mrežni kabel između točke A i točke B zamjenjuje se s parom kabela, od kojih jedan ide na A priključak TAP-a, a drugi na B priključak TAP-a. TAP propušta sav promet između dvije mrežne točke, tako da su i dalje međusobno povezane. TAP također kopira promet na svoj priključak za praćenje, omogućujući tako uređaju za analizu slušanje.
Mrežne TAP-ove obično koriste uređaji za nadzor i prikupljanje podataka poput APS-a. TAP-ovi se također mogu koristiti u sigurnosnim aplikacijama jer nisu nametljivi, ne mogu se otkriti na mreži, mogu raditi s full-duplex i nedijeljenim mrežama te obično propuštaju promet čak i ako tap prestane raditi ili ostane bez napajanja.
Budući da mrežni portovi Taps ne primaju već samo šalju, preklopnik nema pojma tko sjedi iza portova. Posljedica je da emitira pakete na sve portove. Stoga, ako spojite svoj nadzorni uređaj na preklopnik, takav će uređaj primati sve pakete. Imajte na umu da ovaj mehanizam radi ako nadzorni uređaj ne šalje nijedan paket na preklopnik; u suprotnom će preklopnik pretpostaviti da prisluškivani paketi nisu za takav uređaj. Da biste to postigli, možete koristiti mrežni kabel na koji niste spojili TX žice ili koristiti mrežno sučelje bez IP-a (i DHCP-a) koje uopće ne prenosi pakete. Konačno, imajte na umu da ako želite koristiti tap kako ne biste gubili pakete, onda ili nemojte spajati smjerove ili koristite preklopnik gdje su prisluškivani smjerovi sporiji (npr. 100 Mbit) od porta za spajanje (npr. 1 Gbit).
Dakle, kako uhvatiti mrežni promet? Mrežni priključci u odnosu na zrcalo portova preklopnika
1- Jednostavna konfiguracija: Mrežni priključak > Zrcaljenje priključka
2- Utjecaj na mrežne performanse: Mrežni priključak < Zrcaljenje priključka
3- Mogućnost snimanja, replikacije, agregacije, prosljeđivanja: Mrežni priključak > Zrcaljenje porta
4- Latencija prosljeđivanja prometa: Mrežni priključak < Zrcaljenje priključka
5- Kapacitet predobrade prometa: Mrežni priključak > Zrcaljenje porta
Vrijeme objave: 30. ožujka 2022.
