Upang masuri ang trapiko sa network, kinakailangang ipadala ang network packet sa NTOP/NPROBE o Out-of-band Network Security and Monitoring Tools. Mayroong dalawang solusyon sa problemang ito:
Pag-mirror ng Port(kilala rin bilang SPAN)
Tapikin ang Network(kilala rin bilang Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, atbp.)
Bago ipaliwanag ang mga pagkakaiba sa pagitan ng dalawang solusyon (Port Mirror at Network Tap), mahalagang maunawaan kung paano gumagana ang Ethernet. Sa 100Mbit pataas, ang mga host ay karaniwang nagsasalita nang full duplex, ibig sabihin ay maaaring magpadala (Tx) at tumanggap (Rx) nang sabay-sabay ang isang host. Nangangahulugan ito na sa isang 100 Mbit cable na nakakonekta sa isang host, ang kabuuang dami ng trapiko sa network na maaaring ipadala/tanggapin (Tx/Rx) ng isang host ay 2 × 100 Mbit = 200 Mbit.
Ang Port mirroring ay isang aktibong pagkopya ng packet, na nangangahulugang ang network device ay pisikal na responsable sa pagkopya ng packet papunta sa mirrored port.
Nangangahulugan ito na dapat isagawa ng aparato ang gawaing ito gamit ang ilang mapagkukunan (tulad ng CPU), at ang parehong direksyon ng trapiko ay rereplikado sa parehong port. Gaya ng nabanggit kanina, sa Isang full duplex link, nangangahulugan ito na
A -> B at B -> A
Ang kabuuan ng A ay hindi lalampas sa bilis ng network bago mangyari ang packet loss. Ito ay dahil pisikal na walang espasyo para kopyahin ang mga packet. Lumalabas na ang port mirroring ay isang mahusay na pamamaraan dahil maaari itong isagawa ng maraming switch (ngunit hindi lahat), dahil karamihan sa mga switch ay may disbentaha ng packet loss, kung mino-monitor mo ang isang link na may higit sa 50% na load, o i-mirror ang mga port sa isang mas mabilis na port (hal. i-mirror ang 100 Mbit port sa isang 1 Gbit port). Hindi pa kasama rito na ang packet mirroring ay maaaring mangailangan ng pagpapalitan ng mga resources ng switch, na maaaring mag-load sa device at maging sanhi ng pagbaba ng performance ng exchange. Tandaan na maaari mong ikonekta ang 1 port sa isang port, o 1 VLAN sa isang port, ngunit sa pangkalahatan ay hindi mo maaaring kopyahin ang maraming port sa 1. (Kaya dahil ang packet mirror) ay nawawala.
Isang Network TAP (Terminal Access Point)ay isang ganap na passive hardware device, na maaaring pasibong kumuha ng trapiko sa isang network. Karaniwan itong ginagamit upang subaybayan ang trapiko sa pagitan ng dalawang punto sa network. Kung ang network sa pagitan ng dalawang puntong ito ay binubuo ng isang pisikal na cable, ang isang network TAP ay maaaring ang pinakamahusay na paraan upang makuha ang trapiko.
Ang network TAP ay may hindi bababa sa tatlong port: isang A port, isang B port, at isang monitor port. Upang maglagay ng tap sa pagitan ng mga punto A at B, ang network cable sa pagitan ng punto A at punto B ay pinapalitan ng isang pares ng mga cable, ang isa ay papunta sa A port ng TAP, ang isa naman ay papunta sa B port ng TAP. Ipinapasa ng TAP ang lahat ng trapiko sa pagitan ng dalawang punto ng network, kaya't konektado pa rin ang mga ito sa isa't isa. Kinokopya rin ng TAP ang trapiko papunta sa monitor port nito, kaya nagbibigay-daan sa isang analysis device na makinig.
Karaniwang ginagamit ang mga network TAP ng mga monitoring at collection device tulad ng APS. Maaari ring gamitin ang mga TAP sa mga security application dahil hindi ito nakakasagabal, hindi nade-detect sa network, kayang humawak ng mga full-duplex at non-shared network, at kadalasang dumadaan sa trapiko kahit na huminto sa paggana ang gripo o mawalan ng kuryente.
Dahil ang mga Network Taps port ay hindi tumatanggap kundi nagpapadala lamang, walang ideya ang switch kung sino ang nakaupo sa likod ng mga port. Ang resulta ay ibo-broadcast nito ang mga packet sa lahat ng port. Samakatuwid, kung ikokonekta mo ang iyong monitoring device sa switch, matatanggap ng device na iyon ang lahat ng packet. Tandaan na gumagana ang mekanismong ito kung ang monitoring device ay hindi nagpapadala ng anumang packet sa switch; kung hindi, ipagpapalagay ng switch na ang mga na-tap na packet ay hindi para sa device na iyon. Upang makamit iyon, maaari kang gumamit ng network cable kung saan hindi mo pa naikonekta ang mga TX wire, o gumamit ng IP-less (at DHCP-less) network interface na hindi nagpapadala ng mga packet. Panghuli, tandaan na kung gusto mong gumamit ng tap para hindi mawala ang mga packet, huwag pagsamahin ang mga direksyon o gumamit ng switch kung saan mas mabagal ang mga na-tap na direksyon (hal. 100 Mbit) kaysa sa merge port (hal. 1 Gbit).
Kaya, Paano Kunin ang Trapiko sa Network? Network Taps vs Switch Ports Mirror
1- Madaling pag-configure: Network Tap > Port Mirror
2- Impluwensya ng Pagganap ng Network: Network Tap < Port Mirror
3- Kakayahang Kumuha, Magkopya, Mag-aggregate, Mag-forward: Network Tap > Port Mirror
4- Latency ng Pagpapasa ng Trapiko: Network Tap < Port Mirror
5- Kapasidad sa Paunang Pagproseso ng Trapiko: Network Tap > Port Mirror
Oras ng pag-post: Mar-30-2022
