Per analitzar el trànsit de xarxa, cal enviar el paquet de xarxa a NTOP/NPROBE o a Out-of-band Network Security and Monitoring Tools. Hi ha dues solucions per a aquest problema:
Port Drilling(també conegut com a SPAN)
Toc de xarxa(també conegut com a Replication Tap, Agregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Abans d'explicar les diferències entre les dues solucions (Port Mirror i Network Tap), és important entendre com funciona Ethernet. A 100 Mbit i més, els hosts solen comunicar-se en full dúplex, és a dir, que un host pot enviar (Tx) i rebre (Rx) simultàniament. Això significa que en un cable de 100 Mbit connectat a un host, la quantitat total de trànsit de xarxa que un host pot enviar/rebre (Tx/Rx) és de 2 × 100 Mbit = 200 Mbit.
La rèplica de ports és una replicació activa de paquets, la qual cosa significa que el dispositiu de xarxa és físicament responsable de copiar el paquet al port rèplicat.
Això significa que el dispositiu ha de realitzar aquesta tasca mitjançant algun recurs (com ara la CPU), i ambdues direccions de trànsit es replicaran al mateix port. Com s'ha esmentat anteriorment, en un enllaç dúplex complet, això significa que
A -> B i B -> A
La suma de A no superarà la velocitat de la xarxa abans que es produeixi la pèrdua de paquets. Això és degut a que físicament no hi ha espai per copiar paquets. Resulta que la rèplica de ports és una tècnica excel·lent, ja que es pot dur a terme per molts commutadors (però no tots), perquè la majoria dels commutadors tenen l'inconvenient de la pèrdua de paquets, si superviseu un enllaç amb una càrrega superior al 50% o repliqueu els ports en un port més ràpid (per exemple, repliqueu ports de 100 Mbit en un port d'1 Gbit). Sense oblidar que la rèplica de paquets pot requerir l'intercanvi de recursos dels commutadors, cosa que pot carregar el dispositiu i fer que el rendiment de l'intercanvi es degradi. Tingueu en compte que podeu connectar 1 port a un port o 1 VLAN a un port, però generalment no podeu copiar molts ports a 1. (Així que falta la rèplica de paquets).
Un TAP de xarxa (punt d'accés al terminal)és un dispositiu de maquinari totalment passiu, que pot capturar passivament el trànsit d'una xarxa. S'utilitza habitualment per monitoritzar el trànsit entre dos punts de la xarxa. Si la xarxa entre aquests dos punts consisteix en un cable físic, un TAP de xarxa pot ser la millor manera de capturar el trànsit.
El TAP de xarxa té com a mínim tres ports: un port A, un port B i un port de monitorització. Per col·locar un tap entre els punts A i B, el cable de xarxa entre el punt A i el punt B es substitueix per un parell de cables, un que va al port A del TAP i l'altre que va al port B del TAP. El TAP passa tot el trànsit entre els dos punts de xarxa, de manera que encara estan connectats entre si. El TAP també copia el trànsit al seu port de monitorització, permetent així que un dispositiu d'anàlisi escolti.
Els TAP de xarxa són utilitzats habitualment per dispositius de monitorització i recopilació com ara els APS. Els TAP també es poden utilitzar en aplicacions de seguretat perquè no són intrusius, no es poden detectar a la xarxa, poden gestionar xarxes full-duplex i no compartides, i normalment transmeten el trànsit fins i tot si el tap deixa de funcionar o perd energia.
Com que els ports Network Taps no reben sinó que només transmeten, el commutador no té ni idea de qui hi ha darrere dels ports. La conseqüència és que emet els paquets a tots els ports. Per tant, si connecteu el vostre dispositiu de monitorització al commutador, aquest dispositiu rebrà tots els paquets. Tingueu en compte que aquest mecanisme funciona si el dispositiu de monitorització no envia cap paquet al commutador; en cas contrari, el commutador assumirà que els paquets taps no són per a aquest dispositiu. Per aconseguir-ho, podeu utilitzar un cable de xarxa al qual no hàgiu connectat els cables TX o utilitzar una interfície de xarxa sense IP (i sense DHCP) que no transmeti paquets en absolut. Finalment, tingueu en compte que si voleu utilitzar un tap per no perdre paquets, no fusioneu les direccions o utilitzeu un commutador on les direccions taps siguin més lentes (per exemple, 100 Mbit) que el port de fusió (per exemple, 1 Gbit).
Aleshores, com capturar el trànsit de xarxa? Network Taps vs Switch Ports Mirror
1- Configuració fàcil: Toqueu Xarxa > Port Mirror
2- Influència del rendiment de la xarxa: Network Tap < Port Mirror
3- Captura, replicació, agregació, capacitat de reenviament: Toqueu la xarxa > Mirror de port
4- Latència de reenviament de trànsit: Toc de xarxa < Mirall de port
5- Capacitat de preprocessament del trànsit: Network Tap > Port Mirror
Data de publicació: 30 de març de 2022
