Verkkoliikenteen analysoimiseksi on välttämätöntä lähettää verkkopaketti NTOP/NPROBE-alueelle tai kaistan ulkopuolelle verkon suojaus- ja valvontatyökaluja. Tähän ongelmaan on kaksi ratkaisua:
Satamapeilaa(tunnetaan myös nimellä span)
Verkon napautus(Tunnetaan myös nimellä replikointinauha, aggregaation napautus, aktiivinen napautus, kuparin napautus, Ethernet Tap, jne.)
Ennen näiden kahden ratkaisun (porttipeilin ja verkon hanan) välisten erojen selittämistä on tärkeää ymmärtää, kuinka Ethernet toimii. 100 mbit ja uudemmassa isännät puhuvat yleensä täys duplexissa, mikä tarkoittaa, että yksi isäntä voi lähettää (TX) ja vastaanottaa (RX) samanaikaisesti. Tämä tarkoittaa, että 100 Mbit -kaapelilla, joka on kytketty yhteen isännään, verkkoliikenteen kokonaismäärä, jonka yksi isäntä voi lähettää/vastaanottaa (TX/RX)) on 2 × 100 Mbit = 200 Mbit.
Portin peilaus on aktiivista paketin replikaatiota, mikä tarkoittaa, että verkkolaite on fyysisesti vastuussa paketin kopioinnista peiliin.
Tämä tarkoittaa, että laitteen on suoritettava tämä tehtävä käyttämällä jotakin resurssia (kuten CPU), ja molemmat liikennesuunnat toistetaan samaan porttiin. Kuten aiemmin mainittiin, koko duplex -linkissä tämä tarkoittaa sitä
A -> b ja b -> a
A: n summa ei ylitä verkon nopeutta ennen paketin häviötä. Tämä johtuu siitä, että pakettien kopiointiin ei ole fyysisesti tilaa. Osoittautuu, että portin peilaus on hieno tekniikka, koska se voidaan suorittaa monilla kytkimillä (mutta ei kaikki), koska suurin osa kytkimistä pakettihäviön haittanalla, jos seuraat linkkiä, jolla on yli 50% kuormitus, tai heijastaa portteja nopeampaan porttiin (esim. Peilien 100 Mbit -portit 1 giittiporttiin). Puhumattakaan siitä, että paketin peilaus voi edellyttää vaihtamista koskevia resursseja, jotka voivat ladata laitteen ja aiheuttaa vaihdon suorituskyvyn heikentymisen. Huomaa, että voit kytkeä yhden portin yhteen porttiin tai 1 VLAN -sovellukseen yhteen porttiin, mutta et yleensä voi kopioida monia portteja 1: ksi (niin kuin pakettipeili) puuttuu.
Verkko -hanan (päätelaitteen tukiasema)on täysin passiivinen laitteisto, joka voi passiivisesti kaapata liikennettä verkossa. Sitä käytetään yleisesti verkon kahden pisteen välisen liikenteen seuraamiseen. Jos näiden kahden pisteen välinen verkko koostuu fyysisestä kaapelista, verkon hanasta voi olla paras tapa kaapata liikennettä.
Verkko -hanassa on vähintään kolme porttia: A -portti, B -portti ja näyttöportti. Hankin asettamiseksi pisteiden A ja B väliin, verkkokaapeli pisteen A ja pisteen B välillä korvataan kaapelilla, joista toinen menee hanan A -porttiin, toinen menee TAP: n B -porttiin. Hana kulkee kaiken verkon välisen liikenteen, joten ne ovat edelleen yhteydessä toisiinsa. Hana kopioi myös liikenteen näytön porttiin, jolloin analyysilaite voi kuunnella.
Verkkovapoja käyttävät yleisesti valvonta- ja keräyslaitteet, kuten APS. Tappeja voidaan käyttää myös tietoturvasovelluksissa, koska ne eivät ole häiritseviä, ne eivät ole verkossa havaittavissa, ne voivat käsitellä täysidupleksi- ja jakamattomia verkkoja ja yleensä läpikäyvät liikenteen, vaikka TAP pysäyttää toiminnan tai menettää voiman.
Koska Network Taps -portit eivät saa, vaan vain lähettävät, kytkimellä ei ole aavistustakaan, joka istuu porttien takana. Seurauksena on, että se lähetti paketit kaikille porteille. Siksi, jos kytket valvontalaitteen kytkimeen, tällainen laite vastaanottaa kaikki paketit. Huomaa, että tämä mekanismi toimii, jos valvontalaite ei lähetä pakettia kytkimeen; Muutoin kytkin olettaa, että napautetut paketit eivät ole tällaiselle laitteelle. Tämän saavuttamiseksi voit joko käyttää verkkokaapelia, jolla et ole kytketty TX-johtimia, tai käyttää IP-vähemmän (ja DHCP-ilman) verkkoliitäntää, joka ei lähetä paketteja ollenkaan. Huomaa lopuksi, että jos haluat käyttää napautusta pakettien menettämiseen, älä yhdistä ohjeita tai käytä kytkintä, jossa napautetut ohjeet ovat hitaampia (esim. 100 Mbit), että yhdistämisportti (esim. 1 gbit).
Joten miten verkkoliikenteen kaappaaminen? Verkkopaps vs -kytkinportit peili
1- Helppo kokoonpano: Verkon napautus> porttipeili
2- Verkon suorituskyvyn vaikutusvalta: Verkon napautus <porttipeili
3- Kaappaus, replikointi, aggregointi, edelleenlähetyskyky: Verkko-napautus> porttipeili
4- Liikenteen edelleenlähetys Latenssi: Verkko-napautus <porttipeili
5- Liikenteen esikäsittelykapasiteetti: Verkko-napautus> Port-peili
Viestin aika: Mar-30-2022
