Upang pag-aralan ang trapiko sa network, kinakailangan na ipadala ang network packet sa NTOP/NPROBE o out-of-band na seguridad sa network at mga tool sa pagsubaybay. Mayroong dalawang mga solusyon sa problemang ito:
Port Mirroring(kilala rin bilang span)
Tapikin ang Network.
Bago ipaliwanag ang mga pagkakaiba sa pagitan ng dalawang solusyon (port mirror at network tap), mahalagang maunawaan kung paano gumagana ang Ethernet. Sa 100mbit at sa itaas, ang mga host ay karaniwang nagsasalita nang buong duplex, nangangahulugang ang isang host ay maaaring magpadala (TX) at makatanggap (RX) nang sabay -sabay. Nangangahulugan ito na sa isang 100 mbit cable na konektado sa isang host, ang kabuuang halaga ng trapiko sa network na maaaring ipadala/matanggap ng isang host (TX/RX)) ay 2 × 100 mbit = 200 mbit.
Ang Port Mirroring ay aktibong pagtitiklop ng packet, na nangangahulugang ang aparato ng network ay pisikal na responsable para sa pagkopya ng packet sa salamin na port.
Nangangahulugan ito na dapat gawin ng aparato ang gawaing ito sa pamamagitan ng paggamit ng ilang mapagkukunan (tulad ng CPU), at ang parehong mga direksyon ng trapiko ay mai -replicate sa parehong port. Tulad ng nabanggit kanina, sa isang buong link na duplex, nangangahulugan ito na
A -> B at B -> a
Ang kabuuan ng A ay hindi lalampas sa bilis ng network bago maganap ang pagkawala ng packet. Ito ay dahil walang pisikal na walang puwang upang kopyahin ang mga packet. Ito ay lumiliko na ang port mirroring ay isang mahusay na pamamaraan dahil maaari itong isagawa ng maraming mga switch (ngunit hindi lahat), dahil ang karamihan sa mga switch na may disbentaha ng pagkawala ng packet, kung sinusubaybayan mo ang isang link na may higit sa 50% na pag -load, o salamin ang mga port sa isang mas mabilis na port (hal. Mirror 100 mbit port sa isang 1 gbit port). Hindi sa banggitin na ang pag -salamin ng packet ay maaaring mangailangan ng pagpapalitan ng mga mapagkukunan ng switch, na maaaring mai -load ang aparato at maging sanhi ng pagpapahiya ng palitan. Tandaan na maaari mong ikonekta ang 1 port sa isang port, o 1 VLAN sa isang port, ngunit sa pangkalahatan ay hindi mo maaaring kopyahin ang maraming mga port sa 1. (Kaya nawawala ang salamin ng packet).
Isang Network Tap (Terminal Access Point)ay isang ganap na pasibo na aparato ng hardware, na maaaring pasimpleng makuha ang trapiko sa isang network. Karaniwang ginagamit ito upang masubaybayan ang trapiko sa pagitan ng dalawang puntos sa network. Kung ang network sa pagitan ng dalawang puntos na ito ay binubuo ng isang pisikal na cable, ang isang taping ng network ay maaaring ang pinakamahusay na paraan upang makuha ang trapiko.
Ang Network Tap ay may hindi bababa sa tatlong port: isang port, isang B port, at isang monitor port. Upang maglagay ng isang gripo sa pagitan ng mga puntos A at B, ang cable ng network sa pagitan ng Point A at Point B ay pinalitan ng isang pares ng mga cable, ang isa ay pupunta sa isang port ng gripo, ang isa pa ay pupunta sa p port ng gripo. Ang gripo ay pumasa sa lahat ng trapiko sa pagitan ng dalawang puntos ng network, kaya konektado pa rin sila sa bawat isa. Kinokopya din ng gripo ang trapiko sa port ng monitor nito, sa gayon pinapagana ang isang aparato sa pagsusuri upang makinig.
Ang mga tap sa network ay karaniwang ginagamit ng mga aparato sa pagsubaybay at koleksyon tulad ng APS. Maaari ring magamit ang mga tap sa mga aplikasyon ng seguridad dahil ang mga ito ay hindi nagbabago, hindi nakikita sa network, maaaring makitungo sa buong-duplex at hindi ibinahaging mga network, at karaniwang ipapasa ang trapiko kahit na ang TAP ay tumitigil sa pagtatrabaho o pagkawala ng kapangyarihan.
Tulad ng mga port ng network taps ay hindi natatanggap ngunit nagpapadala lamang, ang switch ay walang clue na nakaupo sa likod ng mga port. Ang kinahinatnan ay na -broadcast nito ang mga packet sa lahat ng mga port. Samakatuwid, kung ikinonekta mo ang iyong aparato sa pagsubaybay sa switch, ang naturang aparato ay makakatanggap ng lahat ng mga packet. Tandaan na ang mekanismong ito ay gumagana kung ang aparato ng pagsubaybay ay hindi nagpapadala ng anumang packet sa switch; Kung hindi man, ipapalagay ng switch na ang mga naka -tap na packet ay hindi para sa naturang aparato. Upang makamit iyon, maaari mo ring gamitin ang isang network cable kung saan hindi mo pa nakakonekta ang mga wire ng TX, o gumamit ng isang IP-mas mababa (at DHCP-less) na interface ng network na hindi nagpapadala ng mga packet. Sa wakas tandaan na kung nais mong gumamit ng isang gripo para sa hindi pagkawala ng mga packet, pagkatapos ay huwag pagsamahin ang mga direksyon o gumamit ng isang switch kung saan mas mabagal ang mga naka -tap na direksyon (hal. 100 MBIT) na ang port ng pagsasama (hal. 1 GBIT).
Kaya, paano makunan ang trapiko sa network? Network taps vs switch port mirror
1- Madaling Pag-configure: Network TAP> Port Mirror
2- Impluwensya sa Pagganap ng Network: Tapikin ang Network <Port Mirror
3- Capture, pagtitiklop, pagsasama-sama, pagpapasa ng kakayahan: Network Tap> Port Mirror
4- Latency ng Pagpapasa ng Trapiko: Tapikin ang Network <port mirror
5- Kapasidad ng preprocessing ng trapiko: Network TAP> Port Mirror
Oras ng Mag-post: Mar-30-2022
