Para analizar o tráfico de rede, é necesario enviar o paquete de rede a ferramentas de seguridade e control de rede NTOP/NPROBE ou de seguridade fóra de banda. Hai dúas solucións a este problema:
Espello porto(tamén coñecido como Span)
Tap de rede(tamén coñecido como tapón de replicación, toque de agregación, toque activo, toque de cobre, billa de ethernet, etc.)
Antes de explicar as diferenzas entre as dúas solucións (Port Mirror e Network Tap), é importante comprender como funciona o Ethernet. A 100MBIT e superior, os hosts normalmente falan en dúplex completo, o que significa que un host pode enviar (TX) e recibir (RX) simultaneamente. Isto significa que nun cable de 100 Mbit conectado a un host, o importe total do tráfico de rede que un host pode enviar/recibir (TX/RX)) é de 2 × 100 Mbit = 200 Mbit.
O espello do porto é unha replicación de paquetes activa, o que significa que o dispositivo de rede é físicamente responsable de copiar o paquete no porto espello.
Isto significa que o dispositivo debe realizar esta tarefa empregando algún recurso (como a CPU) e ambas as indicacións de tráfico serán replicadas ao mesmo porto. Como se mencionou anteriormente, nunha ligazón dúplex completa, isto significa iso
A -> b e b -> a
A suma de A non excederá a velocidade da rede antes de que se produza a perda de paquetes. Isto débese a que non hai espazo físicamente para copiar paquetes. Resulta que o espello de porto é unha técnica estupenda xa que pode ser realizada por moitos interruptores (pero non todos), porque a maioría dos interruptores co inconveniente da perda de paquetes, se supervisa unha ligazón con máis de 50% de carga ou espello os portos a un porto máis rápido (por exemplo, espello de 100 Mbit sobre un porto de 1 Gbit). Sen esquecer que o espello de paquetes pode requirir os recursos de intercambio de interruptores, que poden cargar o dispositivo e provocar que o rendemento de intercambio se degrade. Teña en conta que pode conectar 1 porto a un porto ou 1 VLAN a un porto, pero normalmente non pode copiar moitos portos a 1. (Así como o espello do paquete) falta.
Un toque de rede (punto de acceso do terminal)é un dispositivo de hardware totalmente pasivo, que pode capturar pasivamente tráfico nunha rede. Úsase comunmente para controlar o tráfico entre dous puntos na rede. Se a rede entre estes dous puntos consiste nun cable físico, un toque de rede pode ser o mellor xeito de capturar o tráfico.
O toque de rede ten polo menos tres portos: un porto A, un porto B e un porto de monitor. Para colocar un toque entre os puntos A e B, o cable de rede entre o punto A e o punto B substitúese por un par de cables, un vai ao porto de Tap, o outro que vai ao porto B da TAP. O toque pasa todo o tráfico entre os dous puntos de rede, polo que aínda están conectados entre si. O toque tamén copia o tráfico ao seu porto de monitor, permitindo así escoitar un dispositivo de análise.
Os tapóns de rede úsanse habitualmente mediante dispositivos de seguimento e recollida como APS. As TAP tamén se poden usar en aplicacións de seguridade porque non son obstrusivas, non se poden detectar na rede, poden tratar con redes de dúplex e non compartidas e normalmente pasarán o tráfico aínda que a toque deixa de funcionar ou perde a potencia.
Como os portos de tapóns de rede non reciben senón só transmiten, o conmutador non ten idea que estea sentado detrás dos portos. A consecuencia é que emitiu os paquetes a todos os portos. Polo tanto, se conectas o dispositivo de vixilancia ao conmutador, este dispositivo recibirá todos os paquetes. Teña en conta que este mecanismo funciona se o dispositivo de vixilancia non envía ningún paquete ao conmutador; Se non, o conmutador suporá que os paquetes tocados non son para este dispositivo. Para conseguilo, pode usar un cable de rede no que non conectou os fíos TX, ou usar unha interface de rede menos (e sen menos DHCP) que non transmite paquetes en absoluto. Finalmente, teña en conta que se desexa usar un toque para non perder paquetes, non fusiones indicacións nin use un interruptor onde as indicacións tocadas sexan máis lentas (por exemplo, 100 Mbit) que o porto de combinación (por exemplo, 1 gbit).
Entón, como capturar o tráfico de rede? Mirror de portos de conmutadores de rede VS VS
1- Configuración sinxela: Tap de rede> Espello de porto
2- Influencia do rendemento da rede: Tap de rede <Port Mirror
3- Captura, replicación, agregación, capacidade de reenvío: tap de rede> espello de porto
4- Latencia de reenvío de tráfico: tap de rede <espello de porto
5- Capacidade de preprocesamento do tráfico: Tap de rede> Port Mirror
Tempo de publicación: marzo-30-2022