Para analizar o tráfico da rede, é necesario enviar o paquete de rede a NTOP/NPROBE ou a Out-of-band Network Security and Monitoring Tools. Hai dúas solucións para este problema:
Duplicación de portos(tamén coñecido como SPAN)
Toque de rede(tamén coñecido como Replication Tap, Agregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Antes de explicar as diferenzas entre as dúas solucións (Port Mirror e Network Tap), é importante entender como funciona Ethernet. A 100 Mbit e superiores, os hosts adoitan comunicarse en full dúplex, o que significa que un host pode enviar (Tx) e recibir (Rx) simultaneamente. Isto significa que nun cable de 100 Mbit conectado a un host, a cantidade total de tráfico de rede que un host pode enviar/recibir (Tx/Rx) é de 2 × 100 Mbit = 200 Mbit.
A duplicación de portos é unha replicación activa de paquetes, o que significa que o dispositivo de rede é fisicamente responsable de copiar o paquete ao porto duplicado.
Isto significa que o dispositivo debe realizar esta tarefa empregando algún recurso (como a CPU) e ambas as direccións do tráfico replicaranse no mesmo porto. Como se mencionou anteriormente, nunha ligazón full dúplex, isto significa que
A -> B e B -> A
A suma de A non superará a velocidade da rede antes de que se produza a perda de paquetes. Isto débese a que fisicamente non hai espazo para copiar paquetes. Resulta que a creación de espellos de portos é unha técnica excelente, xa que pode ser realizada por moitos conmutadores (pero non todos), porque a maioría dos conmutadores teñen o inconveniente da perda de paquetes se monitorizan unha ligazón con máis do 50 % de carga ou se crean espellos dos portos nun porto máis rápido (por exemplo, crea espellos de portos de 100 Mbit nun porto de 1 Gbit). Sen esquecer que a creación de espellos de paquetes pode requirir o intercambio de recursos dos conmutadores, o que pode cargar o dispositivo e provocar que o rendemento do intercambio se degrade. Ten en conta que podes conectar 1 porto a un porto ou 1 VLAN a un porto, pero xeralmente non podes copiar moitos portos a 1. (Entón, falta o espello de paquetes).
Un TAP (punto de acceso ao terminal) de redeé un dispositivo de hardware totalmente pasivo, que pode capturar pasivamente o tráfico nunha rede. Úsase habitualmente para monitorizar o tráfico entre dous puntos da rede. Se a rede entre estes dous puntos consiste nun cable físico, un TAP de rede pode ser a mellor maneira de capturar o tráfico.
O TAP de rede ten polo menos tres portos: un porto A, un porto B e un porto de monitor. Para colocar un tap entre os puntos A e B, o cable de rede entre o punto A e o punto B substitúese por un par de cables, un que vai ao porto A do TAP e o outro ao porto B do TAP. O TAP pasa todo o tráfico entre os dous puntos de rede, polo que seguen conectados entre si. O TAP tamén copia o tráfico ao seu porto de monitor, o que permite que un dispositivo de análise escoite.
Os TAP de rede úsanse habitualmente en dispositivos de monitorización e recollida como os APS. Os TAP tamén se poden usar en aplicacións de seguridade porque non son intrusivos, non se detectan na rede, poden xestionar redes full-duplex e non compartidas e normalmente devolverán o tráfico mesmo se o tap deixa de funcionar ou perde a enerxía.
Como os portos Network Taps non reciben senón que só transmiten, o conmutador non ten nin idea de quen está detrás dos portos. A consecuencia é que emite os paquetes a todos os portos. Polo tanto, se conecta o seu dispositivo de monitorización ao conmutador, este recibirá todos os paquetes. Teña en conta que este mecanismo funciona se o dispositivo de monitorización non envía ningún paquete ao conmutador; se non, o conmutador asumirá que os paquetes taped non son para ese dispositivo. Para conseguilo, pode usar un cable de rede ao que non teña conectados os cables TX ou usar unha interface de rede sen IP (e sen DHCP) que non transmita paquetes en absoluto. Finalmente, teña en conta que se quere usar un tap para non perder paquetes, non combine as direccións ou use un conmutador onde as direccións taped sexan máis lentas (por exemplo, 100 Mbit) que o porto merge (por exemplo, 1 Gbit).
Entón, como capturar o tráfico da rede? Network Taps vs. Switch Ports Mirror
1- Configuración sinxela: Toque de rede > Duplicado de portos
2- Influencia do rendemento da rede: Tap de rede < Porto espello
3- Captura, replicación, agregación e capacidade de reenvío: Toque de rede > Duplicación de portos
4- Latencia de reenvío de tráfico: Toque de rede < Espello de porto
5- Capacidade de preprocesamento do tráfico: Tap de rede > Duplicado de portos
Data de publicación: 30 de marzo de 2022
