Per tal d’analitzar el trànsit de xarxa, cal enviar el paquet de xarxa a NTOP/NPROBE o a les eines de seguretat i control de xarxa fora de banda. Hi ha dues solucions a aquest problema:
Mirall de port(també conegut com a abast)
Tow de xarxa(També conegut com a tap de replicació, aixeta d’agregació, tap actiu, tap de coure, tap d’ethernet, etc.)
Abans d’explicar les diferències entre les dues solucions (Port Mirror i Network Tap), és important comprendre com funciona l’Ethernet. A 100MBit i a dalt, els amfitrions solen parlar en dúplex complet, cosa que significa que un amfitrió pot enviar (TX) i rebre (RX) simultàniament. Això significa que en un cable de 100 Mbit connectat a un amfitrió, la quantitat total del trànsit de xarxa que un amfitrió pot enviar/rebre (TX/RX)) és de 2 × 100 Mbit = 200 Mbit.
El Miralling Port és una replicació activa de paquets, cosa que significa que el dispositiu de xarxa és responsable físicament de copiar el paquet al port mirallat.
Això significa que el dispositiu ha de realitzar aquesta tasca mitjançant algun recurs (com la CPU) i ambdues direccions de trànsit es replicaran al mateix port. Com s'ha esmentat anteriorment, en un enllaç dúplex complet, això vol dir que
A -> b i b -> a
La suma d’A no superarà la velocitat de la xarxa abans que es produeixi la pèrdua del paquet. Això es deu al fet que físicament no hi ha espai per copiar paquets. Resulta que el Miralling de Port és una tècnica excel·lent, ja que pot ser realitzada per molts commutadors (però no tots), perquè la majoria dels interruptors amb l’inconvenient de la pèrdua de paquets, si controleu un enllaç amb més del 50% de càrrega o reflecteu els ports en un port més ràpid (per exemple, els ports de 100 mbit en un port d’1 Gbit). Sense oblidar que la reflexió de paquets pot requerir intercanviar recursos de commutadors, que poden carregar el dispositiu i fer que el rendiment de l’intercanvi es degradi. Tingueu en compte que podeu connectar 1 port a un port o 1 VLAN a un port, però generalment no podeu copiar molts ports a 1 (com a mirall de paquet).
Un tap de xarxa (punt d'accés del terminal)és un dispositiu de maquinari completament passiu, que pot capturar passivament el trànsit en una xarxa. S’utilitza habitualment per controlar el trànsit entre dos punts de la xarxa. Si la xarxa entre aquests dos punts consisteix en un cable físic, pot ser que un toc de xarxa sigui la millor manera de captar el trànsit.
L’aixeta de xarxa té almenys tres ports: un port A, un port B i un port de monitor. Per col·locar un toc entre els punts A i B, el cable de xarxa entre el punt A i el punt B es substitueix per un parell de cables, un que va al port de l’aixeta, l’altre que anirà al port B de l’aixeta. El TAP passa tot el trànsit entre els dos punts de xarxa, de manera que encara estan connectats entre si. L’aixeta també copia el trànsit al seu port de monitor, permetent així escoltar un dispositiu d’anàlisi.
Les aixetes de xarxa s’utilitzen habitualment mitjançant dispositius de control i recollida com ara APS. Les taps també es poden utilitzar en aplicacions de seguretat perquè no són obustes, no es poden detectar a la xarxa, poden tractar amb xarxes de duplex complet i no compartit, i normalment passaran el trànsit fins i tot si l’aixeta s’atura a funcionar o perd energia.
Com que els ports de les taps de xarxa no reben, sinó que només transmeten, l’interruptor no té ni idea que estigui assegut darrere dels ports. La conseqüència és que va emetre els paquets a tots els ports. Per tant, si connecteu el dispositiu de control a l’interruptor, aquest dispositiu rebrà tots els paquets. Tingueu en compte que aquest mecanisme funciona si el dispositiu de control no envia cap paquet al commutador; En cas contrari, l’interruptor suposarà que els paquets tapats no són per a aquest dispositiu. Per aconseguir-ho, podeu utilitzar un cable de xarxa on no heu connectat els cables TX o bé utilitzar una interfície de xarxa sense IP (i sense DHCP) que no transmeti paquets. Finalment, tingueu en compte que si voleu utilitzar un toc per no perdre paquets, aleshores no fusioneu les indicacions o utilitzeu un interruptor on les indicacions tocades siguin més lentes (per exemple, 100 Mbit) que el port de combinació (per exemple, 1 Gbit).
Llavors, com capturar el trànsit de la xarxa? TAPS de xarxa vs Mirall dels ports de commutació
1- Configuració fàcil: Tap de xarxa> Mirall del port
2- Influència del rendiment de la xarxa: Tap de xarxa <Port Mirror
3- Captura, replicació, agregació, capacitat de reenviament: Tap de xarxa> Mirall del port
4- Latència de reenviament de trànsit: Tap de xarxa <Mirall de port
5- Capacitat de preprocessament de trànsit: Tap de xarxa> Mirall del port
Posat Post: 30 de març-2022
