Come catturare il traffico di rete? Rubinetto di rete vs Mirroring di porte

Per analizzare il traffico di rete, è necessario inviare il pacchetto di rete a NTOP/NPROBE o agli strumenti di monitoraggio e sicurezza della rete fuori banda. Esistono due soluzioni a questo problema:

Mirroring delle porte(noto anche come SPAN)

Tocca Rete(noto anche come Tap di replica, Tap di aggregazione, Tap attivo, Tap in rame, Tap Ethernet, ecc.)

Prima di spiegare le differenze tra le due soluzioni (Port Mirror e Network Tap), è importante capire come funziona Ethernet. A 100 Mbit e oltre, gli host di solito parlano in full duplex, il che significa che un host può inviare (Tx) e ricevere (Rx) simultaneamente. Ciò significa che su un cavo da 100 Mbit collegato a un host, la quantità totale di traffico di rete che un host può inviare/ricevere (Tx/Rx) è 2 × 100 Mbit = 200 Mbit.

Il mirroring delle porte è una replica attiva dei pacchetti, il che significa che il dispositivo di rete è fisicamente responsabile della copia del pacchetto sulla porta con mirroring.

mirror della porta dello switch di rete

Ciò significa che il dispositivo deve eseguire questa attività utilizzando alcune risorse (come la CPU) ed entrambe le direzioni del traffico verranno replicate sulla stessa porta. Come accennato in precedenza, in Un collegamento full duplex, ciò significa questo

A -> B e B -> A

La somma di A non supererà la velocità della rete prima che si verifichi la perdita di pacchetti. Questo perché fisicamente non c'è spazio per copiare i pacchetti. Si scopre che il port mirroring è un'ottima tecnica in quanto può essere eseguita da molti switch (ma non tutti), perché la maggior parte degli switch presenta lo svantaggio della perdita di pacchetti, se si monitora un collegamento con un carico superiore al 50% o si esegue il mirroring del porte su una porta più veloce (ad esempio, eseguire il mirroring di porte da 100 Mbit su una porta da 1 Gbit). Per non parlare del fatto che il mirroring dei pacchetti potrebbe richiedere lo scambio di risorse degli switch, che potrebbe caricare il dispositivo e causare un peggioramento delle prestazioni di scambio. Tieni presente che puoi connettere 1 porta a una porta o 1 VLAN a una porta, ma generalmente non puoi copiare molte porte su 1. (Così come manca il mirroring dei pacchetti).

Un TAP di rete (punto di accesso terminale)è un dispositivo hardware completamente passivo, che può acquisire passivamente il traffico su una rete. Viene comunemente utilizzato per monitorare il traffico tra due punti della rete. Se la rete tra questi due punti è costituita da un cavo fisico, un TAP di rete potrebbe essere il modo migliore per acquisire il traffico.

Il TAP di rete ha almeno tre porte: una porta A, una porta B e una porta monitor. Per posizionare un raccordo tra i punti A e B, il cavo di rete tra il punto A e il punto B viene sostituito con una coppia di cavi, uno va alla porta A del TAP, l'altro va alla porta B del TAP. Il TAP fa passare tutto il traffico tra i due punti della rete, quindi sono ancora connessi tra loro. Il TAP copia anche il traffico sulla sua porta monitor, consentendo così l'ascolto a un dispositivo di analisi.

I TAP di rete sono comunemente utilizzati dai dispositivi di monitoraggio e raccolta come APS. I TAP possono essere utilizzati anche in applicazioni di sicurezza perché non sono invadenti, non sono rilevabili sulla rete, possono gestire reti full-duplex e non condivise e di solito passano il traffico anche se il TAP smette di funzionare o perde energia .

aggregazione dei tocchi di rete

Poiché le porte Network Tap non ricevono ma trasmettono solo, lo switch non ha idea di chi sia seduto dietro le porte. La conseguenza è che trasmette i pacchetti a tutte le porte. Pertanto, se colleghi il tuo dispositivo di monitoraggio allo switch, tale dispositivo riceverà tutti i pacchetti. Si noti che questo meccanismo funziona se il dispositivo di monitoraggio non invia alcun pacchetto allo switch; in caso contrario, lo switch presumerà che i pacchetti intercettati non siano destinati a tale dispositivo. Per raggiungere questo obiettivo, è possibile utilizzare un cavo di rete su cui non sono stati collegati i cavi TX oppure utilizzare un'interfaccia di rete senza IP (e senza DHCP) che non trasmette affatto pacchetti. Infine, tieni presente che se desideri utilizzare un tocco per non perdere pacchetti, non unire le direzioni o utilizzare uno switch in cui le direzioni toccate sono più lente (ad esempio 100 Mbit) rispetto alla porta di unione (ad esempio 1 Gbit).

replica del tocco di rete

Quindi, come catturare il traffico di rete? Tap di rete e mirroring delle porte dello switch

1- Configurazione semplice: tocca Rete > Mirror porta

2- Influenza sulle prestazioni della rete: Rete Toccare < Port Mirror

3- Capacità di acquisizione, replica, aggregazione e inoltro: toccare Rete > Mirror porta

4- Latenza di inoltro del traffico: Rete Toccare < Port Mirror

5- Capacità di preelaborazione del traffico: Rete Toccare > Mirror porta

tap di rete vs mirroring delle porte


Orario di pubblicazione: 30 marzo 2022