Como capturar o tráfico da rede? Rede Tap vs Port Mirror

Para analizar o tráfico da rede, é necesario enviar o paquete de rede a NTOP/NPROBE ou Out-of-band Network Security and Monitoring Tools. Hai dúas solucións a este problema:

Reflexión de portos(tamén coñecido como SPAN)

Toque en rede(tamén coñecido como Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)

Antes de explicar as diferenzas entre as dúas solucións (Port Mirror e Network Tap), é importante comprender como funciona Ethernet. A partir de 100 Mbit, os anfitrións adoitan falar en dúplex completo, o que significa que un host pode enviar (Tx) e recibir (Rx) simultaneamente. Isto significa que nun cable de 100 Mbit conectado a un host, a cantidade total do tráfico de rede que un host pode enviar/recibir (Tx/Rx)) é de 2 × 100 Mbit = 200 Mbit.

A duplicación de portos é a replicación activa de paquetes, o que significa que o dispositivo de rede é fisicamente responsable de copiar o paquete no porto reflectido.

espello do porto do switch de rede

Isto significa que o dispositivo debe realizar esta tarefa usando algún recurso (como a CPU) e que ambas direccións de tráfico replicaranse no mesmo porto. Como se mencionou anteriormente, en A full duplex link, isto significa que

A -> B e B -> A

A suma de A non excederá a velocidade da rede antes de que se produza a perda de paquetes. Isto débese a que fisicamente non hai espazo para copiar paquetes. Resulta que a duplicación de portos é unha técnica estupenda xa que pode ser realizada por moitos conmutadores (pero non todos), porque a maioría dos conmutadores teñen o inconveniente da perda de paquetes, se supervisas unha ligazón cunha carga superior ao 50% portos nun porto máis rápido (por exemplo, reflectir portos de 100 Mbit nun porto de 1 Gbit). Sen esquecer que a duplicación de paquetes pode requirir o intercambio de recursos de conmutadores, o que pode cargar o dispositivo e facer que o rendemento do intercambio se degrade. Teña en conta que pode conectar 1 porto a un porto ou 1 VLAN a un porto, pero xeralmente non pode copiar moitos portos a 1. (Entón, como o espello do paquete) falta.

Un TAP de rede (Punto de acceso terminal)é un dispositivo de hardware totalmente pasivo, que pode capturar de forma pasiva o tráfico nunha rede. Úsase habitualmente para supervisar o tráfico entre dous puntos da rede. Se a rede entre estes dous puntos consiste nun cable físico, un TAP de rede pode ser a mellor forma de capturar o tráfico.

A rede TAP ten polo menos tres portos: un porto A, un porto B e un porto de monitor. Para colocar unha toma entre os puntos A e B, o cable de rede entre o punto A e o punto B substitúese por un par de cables, un para o porto A do TAP, o outro para o porto B do TAP. O TAP pasa todo o tráfico entre os dous puntos de rede, polo que aínda están conectados entre si. O TAP tamén copia o tráfico no seu porto de monitor, permitindo así que un dispositivo de análise escoite.

Os TAP de rede úsanse habitualmente por dispositivos de monitorización e recollida como APS. Os TAP tamén se poden usar en aplicacións de seguranza porque non son molestos, non se poden detectar na rede, poden xestionar redes full-duplex e non compartidas e, normalmente, atravesarán o tráfico aínda que o toque deixe de funcionar ou perda enerxía. .

agregación de toques de rede

Como os portos de Network Taps non reciben senón só transmiten, o interruptor non ten nin idea de quen está detrás dos portos. A consecuencia é que transmite os paquetes a todos os portos. Polo tanto, se conecta o dispositivo de vixilancia ao interruptor, ese dispositivo recibirá todos os paquetes. Teña en conta que este mecanismo funciona se o dispositivo de vixilancia non envía ningún paquete ao switch; se non, o interruptor suporá que os paquetes tocados non son para ese dispositivo. Para conseguilo, pode usar un cable de rede no que non teña conectado os cables TX ou usar unha interface de rede sen IP (e sen DHCP) que non transmita paquetes en absoluto. Finalmente, teña en conta que se quere usar un toque para non perder paquetes, non combine as direccións ou use un interruptor onde as direccións tocadas sexan máis lentas (por exemplo, 100 Mbit) que o porto de combinación (por exemplo, 1 Gbit).

replicación de toques de rede

Entón, como capturar o tráfico da rede? Rede Taps vs Switch Ports Mirror

1- Fácil configuración: Toque en rede > Port Mirror

2- Influencia no rendemento da rede: toque na rede < Port Mirror

3- Captura, replicación, agregación, capacidade de reenvío: toque en rede > Port Mirror

4- Latencia de reenvío de tráfico: toque en rede < Port Mirror

5- Capacidade de preprocesamento de tráfico: Toque en rede > Port Mirror

espello de toques de rede vs portos


Hora de publicación: 30-mar-2022