Як захапіць сеткавы трафік? Network Tap супраць Port Mirror

Каб прааналізаваць сеткавы трафік, неабходна адправіць сеткавы пакет у NTOP/NPROBE або інструменты Out-of-band Network Security and Monitoring Tools. Ёсць два рашэнні гэтай праблемы:

Адлюстраванне партоў(таксама вядомы як SPAN)

Сеткавы кран(таксама вядомы як адвод рэплікацыі, адвод агрэгацыі, актыўны адвод, медны адвод, адвод Ethernet і г.д.)

Перш чым тлумачыць адрозненні паміж двума рашэннямі (Port Mirror і Network Tap), важна зразумець, як працуе Ethernet. Пры 100 Мбіт і вышэй хасты звычайна размаўляюць у поўным дуплексе, што азначае, што адзін хост можа адпраўляць (Tx) і атрымліваць (Rx) адначасова. Гэта азначае, што па кабелі 100 Мбіт, падлучаным да аднаго хоста, агульны аб'ём сеткавага трафіку, які адзін хост можа адправіць/атрымаць (Tx/Rx)), складае 2 × 100 Мбіт = 200 Мбіт.

Адлюстраванне порта - гэта актыўная рэплікацыя пакета, што азначае, што сеткавая прылада фізічна адказвае за капіраванне пакета ў люстраваны порт.

люстэрка порта сеткавага камутатара

Гэта азначае, што прылада павінна выконваць гэтую задачу, выкарыстоўваючы нейкі рэсурс (напрыклад, працэсар), і абодва напрамкі трафіку будуць прайгравацца на адзін і той жа порт. Як згадвалася раней, у поўнадуплекснай сувязі гэта азначае, што

A -> B і B -> A

Сума A не будзе перавышаць хуткасць сеткі да страты пакетаў. Гэта таму, што фізічна няма месца для капіравання пакетаў. Аказалася, што адлюстраванне партоў з'яўляецца выдатным метадам, паколькі яно можа быць выканана многімі камутатарамі (але не ўсімі), таму што большасць камутатараў з недахопам страты пакетаў, калі вы кантралюеце спасылку з загрузкай больш за 50%, або адлюстроўваеце парты на больш хуткі порт (напрыклад, адлюстраванне партоў 100 Мбіт на порт 1 Гбіт). Не кажучы ўжо пра тое, што для адлюстравання пакетаў можа спатрэбіцца абмен рэсурсамі камутатараў, што можа загрузіць прыладу і прывесці да пагаршэння прадукцыйнасці абмену. Звярніце ўвагу, што вы можаце падключыць 1 порт да аднаго порта або 1 VLAN да аднаго порта, але вы звычайна не можаце скапіяваць шмат партоў у 1. (Такім чынам, люстэрка пакетаў) адсутнічае.

Сеткавы ТАР (канчатковы пункт доступу)гэта цалкам пасіўная апаратная прылада, якая можа пасіўна захопліваць трафік у сетцы. Ён звычайна выкарыстоўваецца для маніторынгу трафіку паміж двума кропкамі ў сетцы. Калі сетка паміж гэтымі двума пунктамі складаецца з фізічнага кабеля, сеткавы ТАР можа быць лепшым спосабам захопу трафіку.

Сеткавы TAP мае як мінімум тры парты: порт A, порт B і порт манітора. Каб размясціць кран паміж пунктамі A і B, сеткавы кабель паміж пунктамі A і B замяняецца парай кабеляў, адзін ідзе да порта A TAP, а другі - да порта B TAP. TAP перадае ўвесь трафік паміж дзвюма сеткавымі кропкамі, таму яны па-ранейшаму звязаны адзін з адным. TAP таксама капіюе трафік на свой порт манітора, што дазваляе прыладзе аналізу праслухоўваць.

Сеткавыя ТАР звычайна выкарыстоўваюцца прыладамі маніторынгу і збору, такімі як APS. TAP таксама можна выкарыстоўваць у праграмах бяспекі, таму што яны ненадакучлівыя, не выяўляюцца ў сетцы, могуць працаваць з поўнадуплекснымі і неагуленымі сеткамі і звычайна прапускаюць скразны трафік, нават калі кран перастае працаваць або губляе харчаванне .

агрэгацыя кранаў сеткі

Паколькі парты Network Taps не прымаюць, а толькі перадаюць, камутатар не ведае, хто знаходзіцца за партамі. Следствам з'яўляецца тое, што ён транслюе пакеты на ўсе парты. Такім чынам, калі вы падключыце прыладу маніторынгу да камутатара, такая прылада будзе атрымліваць усе пакеты. Звярніце ўвагу, што гэты механізм працуе, калі прылада маніторынгу не адпраўляе ніякіх пакетаў на камутатар; у адваротным выпадку камутатар будзе лічыць, што праслухоўваныя пакеты не для такой прылады. Каб дасягнуць гэтага, вы можаце выкарыстоўваць сеткавы кабель, да якога вы не падключылі правады TX, або выкарыстоўваць сеткавы інтэрфейс без IP (і DHCP), які ўвогуле не перадае пакеты. Нарэшце заўважце, што калі вы хочаце выкарыстоўваць націсканне, каб не страціць пакеты, то альбо не аб'ядноўвайце напрамкі, альбо выкарыстоўвайце пераключальнік, дзе накіраваныя напрамкі больш павольныя (напрыклад, 100 Мбіт), чым порт зліцця (напрыклад, 1 Гбіт).

рэплікацыя крана сеткі

Такім чынам, як захапіць сеткавы трафік? Сеткавыя краны супраць люстэрка партоў камутатара

1- Простая канфігурацыя: Сеткавы кран > Люстэрка порта

2- Уплыў на прадукцыйнасць сеткі: кран сеткі < Люстэрка порта

3- Магчымасць захопу, рэплікацыі, агрэгацыі, перанакіравання: Адвод сеткі > Люстэрка порта

4- Затрымка пераадрасацыі трафіку: кран сеткі < Люстэрка порта

5- Ёмістасць папярэдняй апрацоўкі трафіку: Адвод сеткі > Люстэрка порта

сеткавыя краны супраць люстэрка партоў


Час публікацыі: 30 сакавіка 2022 г