Al fine di analizzare il traffico di rete, è necessario inviare il pacchetto di rete a NTOP/NPROBE o strumenti di sicurezza e monitoraggio della rete fuori banda. Ci sono due soluzioni a questo problema:
Porta Mirroring(noto anche come span)
Tocca di rete(noto anche come tocco di replica, tocco di aggregazione, tocco attivo, tocco di rame, tocco Ethernet, ecc.)
Prima di spiegare le differenze tra le due soluzioni (Port Mirror e Network Tap), è importante capire come funziona Ethernet. A 100 mbit e oltre, gli host di solito parlano in tutto duplex, il che significa che un host può inviare contemporaneamente (TX) e ricevere (RX). Ciò significa che su un cavo da 100 Mbit collegato a un host, l'importo totale del traffico di rete che un host può inviare/ricevere (TX/RX)) è 2 × 100 Mbit = 200 Mbit.
Il mirroring della porta è una replica del pacchetto attivo, il che significa che il dispositivo di rete è fisicamente responsabile della copia del pacchetto sulla porta mirror.
Ciò significa che il dispositivo deve eseguire questa attività utilizzando alcune risorse (come la CPU) e entrambe le direzioni del traffico verranno replicate nella stessa porta. Come accennato in precedenza, in un link duplex completo, questo significa che
A -> b e b -> a
La somma di A non supererà la velocità di rete prima che si verifichi la perdita dei pacchetti. Questo perché non c'è fisicamente spazio per copiare i pacchetti. Si scopre che il mirroring della porta è un'ottima tecnica in quanto può essere eseguita da molti switch (ma non tutti), perché la maggior parte degli interruttori con lo svantaggio della perdita di pacchetti, se si monitora un collegamento con un carico superiore al 50% o rispecchia le porte su una porta più veloce (escore a specchio da 100 mbit su una porta da 1 Gbit). Per non parlare del fatto che il mirroring dei pacchetti potrebbe richiedere lo scambio di risorse di switch, che possono caricare il dispositivo e causare il degrado delle prestazioni di scambio. Si noti che è possibile collegare 1 porta a una porta o 1 VLAN a una porta, ma generalmente non è possibile copiare molte porte su 1. (In modo che il specchio del pacchetto) Manca.
Un tocco di rete (punto di accesso al terminale)è un dispositivo hardware completamente passivo, che può catturare passivamente il traffico su una rete. È comunemente usato per monitorare il traffico tra due punti della rete. Se la rete tra questi due punti è costituita da un cavo fisico, un tocco di rete potrebbe essere il modo migliore per catturare il traffico.
Il rubinetto di rete ha almeno tre porte: una porta A, una porta B e una porta monitor. Per posizionare un rubinetto tra i punti A e B, il cavo di rete tra il punto A e il punto B viene sostituito con una coppia di cavi, uno che va alla porta A TAP, l'altro che va alla porta B del Tap. Il rubinetto passa tutto il traffico tra i due punti di rete, quindi sono ancora collegati tra loro. Il TAP copia anche il traffico sulla sua porta monitor, consentendo così a un dispositivo di analisi di ascoltare.
I tocchi di rete sono comunemente utilizzati dai dispositivi di monitoraggio e raccolta come APS. I TOPS possono anche essere utilizzati nelle applicazioni di sicurezza perché non sono invadenti, non sono rilevabili sulla rete, possono gestire le reti full-duplex e non condivise e di solito passerà il traffico pass-through anche se il TAP smette di funzionare o perde energia.
Poiché le porte dei tocchi di rete non ricevono ma trasmettono solo, lo switch non ha idea di chi è seduto dietro le porte. La conseguenza è che trasmette i pacchetti in tutte le porte. Pertanto, se si collega il dispositivo di monitoraggio all'interruttore, tale dispositivo riceverà tutti i pacchetti. Si noti che questo meccanismo funziona se il dispositivo di monitoraggio non invia alcun pacchetto all'interruttore; Altrimenti, l'interruttore presumerà che i pacchetti toccati non siano per tale dispositivo. Per raggiungere questo obiettivo, è possibile utilizzare un cavo di rete su cui non sono stati collegati i fili TX o utilizzare un'interfaccia di rete senza IP (e senza DHCP) che non trasmette affatto i pacchetti. Infine, si noti che se si desidera utilizzare un tocco per non perdere pacchetti, non unire le direzioni o utilizzare un interruttore in cui le direzioni toccate sono più lente (ad esempio 100 Mbit) che la porta di unione (ad es. 1 Gbit).
Quindi, come catturare il traffico di rete? Specchio delle porte Switch di rete Vs Switch
1- Configurazione facile: tocco di rete> mirror
2- Influenza delle prestazioni della rete: tocco di rete <Port Mirror
3- Acquisizione, replica, aggregazione, capacità di inoltro: tocco di rete> specchio della porta
4- Latenza di inoltro del traffico: tocco di rete <Port Mirror
5- Capacità di preelaborazione del traffico: Tocca di rete> Specchio della porta
Tempo post: MAR-30-2022
