Per analitzar el trànsit de la xarxa, cal enviar el paquet de xarxa a NTOP/NPROBE o Out-of-band Network Security and Monitoring Tools. Hi ha dues solucions a aquest problema:
Mirall del port(també conegut com SPAN)
Toqueu la xarxa(també conegut com a Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Abans d'explicar les diferències entre les dues solucions (Port Mirror i Network Tap), és important entendre com funciona Ethernet. A 100 Mbit i més, els amfitrions solen parlar en full duplex, el que significa que un host pot enviar (Tx) i rebre (Rx) simultàniament. Això significa que en un cable de 100 Mbit connectat a un host, la quantitat total del trànsit de xarxa que un host pot enviar/rebre (Tx/Rx)) és de 2 × 100 Mbit = 200 Mbit.
La duplicació de ports és la replicació activa de paquets, el que significa que el dispositiu de xarxa és físicament responsable de copiar el paquet al port reflectit.
Això vol dir que el dispositiu ha de realitzar aquesta tasca utilitzant algun recurs (com la CPU) i ambdues direccions de trànsit es replicaran al mateix port. Com s'ha esmentat anteriorment, a A full duplex link, això significa que
A -> B i B -> A
La suma de A no superarà la velocitat de la xarxa abans que es produeixi la pèrdua de paquets. Això es deu al fet que físicament no hi ha espai per copiar paquets. Resulta que la duplicació de ports és una tècnica fantàstica, ja que pot ser realitzada per molts commutadors (però no tots), perquè la majoria dels commutadors amb l'inconvenient de la pèrdua de paquets, si controleu un enllaç amb més del 50% de càrrega, o reflecteix els ports en un port més ràpid (per exemple, mira els ports de 100 Mbit en un port d'1 Gbit). Sense oblidar que la rèplica de paquets pot requerir l'intercanvi de recursos de commutadors, cosa que pot carregar el dispositiu i provocar que el rendiment de l'intercanvi es degradi. Tingueu en compte que podeu connectar 1 port a un port, o 1 VLAN a un port, però generalment no podeu copiar molts ports a 1. (Per tant, com a mirall de paquets) falta.
Un TAP de xarxa (punt d'accés al terminal)és un dispositiu de maquinari totalment passiu, que pot capturar de manera passiva el trànsit a una xarxa. S'utilitza habitualment per controlar el trànsit entre dos punts de la xarxa. Si la xarxa entre aquests dos punts consisteix en un cable físic, un TAP de xarxa pot ser la millor manera de capturar trànsit.
El TAP de xarxa té almenys tres ports: un port A, un port B i un port de monitor. Per col·locar una presa entre els punts A i B, el cable de xarxa entre el punt A i el punt B es substitueix per un parell de cables, un va al port A del TAP i l'altre al port B del TAP. El TAP passa tot el trànsit entre els dos punts de la xarxa, de manera que encara estan connectats entre ells. El TAP també copia el trànsit al seu port de monitor, permetent així que un dispositiu d'anàlisi escolti.
Els TAP de xarxa s'utilitzen habitualment per dispositius de control i recollida com ara APS. Els TAP també es poden utilitzar en aplicacions de seguretat perquè no són molestos, no es poden detectar a la xarxa, poden fer front a xarxes full-duplex i no compartides i normalment passaran el trànsit fins i tot si l'aixeta deixa de funcionar o perd energia.
Com que els ports Network Taps no reben sinó que només transmeten, l'interruptor no té ni idea de qui està darrere dels ports. La conseqüència és que emet els paquets a tots els ports. Per tant, si connecteu el vostre dispositiu de monitorització al commutador, aquest dispositiu rebrà tots els paquets. Tingueu en compte que aquest mecanisme funciona si el dispositiu de monitorització no envia cap paquet al commutador; en cas contrari, el commutador suposarà que els paquets tocats no són per a aquest dispositiu. Per aconseguir-ho, podeu utilitzar un cable de xarxa al qual no hàgiu connectat els cables TX, o bé utilitzar una interfície de xarxa sense IP (i sense DHCP) que no transmeti paquets en absolut. Finalment, tingueu en compte que si voleu utilitzar un toc per no perdre paquets, no combineu les direccions o utilitzeu un interruptor on les direccions tocades siguin més lentes (per exemple, 100 Mbit) que el port de fusió (per exemple, 1 Gbit).
Aleshores, com capturar el trànsit de la xarxa? Mirall de les aixetes de xarxa i els ports de commutació
1- Configuració fàcil: Toqueu xarxa > Mirall de port
2- Influència del rendiment de la xarxa: Toqueu la xarxa < Port Mirror
3- Captura, replicació, agregació, capacitat de reenviament: Toqueu xarxa > Mirall de port
4- Latència de reenviament de trànsit: Toqueu la xarxa < Port Mirror
5- Capacitat de preprocessament del trànsit: Toqueu xarxa > Mirall de port
Hora de publicació: 30-mar-2022
