Za analizo omrežnega prometa je treba poslati omrežni paket v NTOP/NPROBE ali orodja za varnost in spremljanje omrežja zunaj pasu. Za to težavo obstajata dve rešitvi:
Zrcaljenje vrat(znano tudi kot SPAN)
Omrežni priklop(znan tudi kot replikacijski odcep, agregacijski odcep, aktivni odcep, bakreni odcep, ethernetni odcep itd.)
Preden razložimo razlike med obema rešitvama (Port Mirror in Network Tap), je pomembno razumeti, kako deluje Ethernet. Pri hitrosti 100 Mbit in več gostitelji običajno komunicirajo v polnem dupleksu, kar pomeni, da lahko en gostitelj hkrati pošilja (Tx) in prejema (Rx). To pomeni, da je na 100 Mbitnem kablu, priključenem na en gostitelj, skupna količina omrežnega prometa, ki ga lahko en gostitelj pošlje/prejme (Tx/Rx), 2 × 100 Mbit = 200 Mbit.
Zrcaljenje vrat je aktivna replikacija paketov, kar pomeni, da je omrežna naprava fizično odgovorna za kopiranje paketa na zrcaljena vrata.
To pomeni, da mora naprava to nalogo opraviti z uporabo nekega vira (kot je CPU), obe smeri prometa pa se bosta replicirali na ista vrata. Kot smo že omenili, to pri povezavi s polnim dupleksom pomeni, da
A - > B in B -> A
Vsota A ne bo presegla omrežne hitrosti, preden pride do izgube paketov. To je zato, ker fizično ni prostora za kopiranje paketov. Izkazalo se je, da je zrcaljenje vrat odlična tehnika, saj jo lahko izvaja veliko stikal (vendar ne vsa), saj ima večina stikal pomanjkljivost izgube paketov, če spremljate povezavo z več kot 50-odstotno obremenitvijo ali zrcalite vrata na hitrejša vrata (npr. zrcaljenje 100 Mbitnih vrat na 1 Gbitna vrata). Da ne omenjamo, da lahko zrcaljenje paketov zahteva izmenjavo virov stikal, kar lahko obremeni napravo in povzroči poslabšanje delovanja izmenjave. Upoštevajte, da lahko na ena vrata priključite 1 vrata ali 1 VLAN na ena vrata, vendar na splošno ne morete kopirati veliko vrat na 1. (Zato manjka zrcaljenje paketov).
Omrežna TAP (dostopna točka terminala)je popolnoma pasivna strojna naprava, ki lahko pasivno zajema promet v omrežju. Običajno se uporablja za spremljanje prometa med dvema točkama v omrežju. Če omrežje med tema dvema točkama sestavlja fizični kabel, je omrežni TAP morda najboljši način za zajemanje prometa.
Omrežni TAP ima vsaj tri vrata: vrata A, vrata B in vrata za spremljanje. Za namestitev odcepnika med točkama A in B se omrežni kabel med točko A in točko B nadomesti s parom kablov, pri čemer eden gre v vrata A na TAP-u, drugi pa v vrata B na TAP-u. TAP prepušča ves promet med obema omrežnima točkama, tako da sta še vedno povezani med seboj. TAP tudi kopira promet v svoja vrata za spremljanje, kar omogoča poslušanje napravi za analizo.
Omrežne TAP-e pogosto uporabljajo naprave za spremljanje in zbiranje podatkov, kot so APS. TAP-e je mogoče uporabljati tudi v varnostnih aplikacijah, ker so nemoteči, jih ni mogoče zaznati v omrežju, lahko delujejo v omrežjih s polnim dupleksom in omrežjih brez skupne rabe ter običajno prepuščajo promet, tudi če odcep preneha delovati ali izgubi napajanje.
Ker vrata Network Taps ne sprejemajo, ampak samo oddajajo, stikalo nima pojma, kdo sedi za vrati. Posledica tega je, da pakete oddaja na vsa vrata. Če torej na stikalo priključite nadzorno napravo, bo ta naprava prejela vse pakete. Upoštevajte, da ta mehanizem deluje, če nadzorna naprava ne pošlje nobenega paketa na stikalo; sicer bo stikalo domnevalo, da prestreženi paketi niso namenjeni tej napravi. Da bi to dosegli, lahko uporabite omrežni kabel, na katerega niste priključili TX žic, ali pa uporabite omrežni vmesnik brez IP-ja (in DHCP-ja), ki sploh ne oddaja paketov. Nazadnje upoštevajte, da če želite uporabiti prestrezanje, da ne bi izgubljali paketov, potem ne spajajte smeri ali pa uporabite stikalo, kjer so prestrezane smeri počasnejše (npr. 100 Mbit) od vrat za spajanje (npr. 1 Gbit).
Torej, kako zajeti omrežni promet? Omrežni odcepi v primerjavi z zrcalnimi vrati stikala
1- Enostavna konfiguracija: Omrežni priključek > Zrcalo vrat
2- Vpliv na delovanje omrežja: Omrežni odcep < Zrcalo vrat
3- Zajem, replikacija, združevanje, zmožnost posredovanja: Omrežni odcep > Zrcalo vrat
4- Zakasnitev posredovanja prometa: Omrežni odcep < Zrcalo vrat
5- Zmogljivost predobdelave prometa: Omrežni odcep > Zrcalo vrat
Čas objave: 30. marec 2022
