Para analizar o tráfico da rede, é necesario enviar o paquete de rede a NTOP/NPROBE ou Out-of-band Network Security and Monitoring Tools. Hai dúas solucións a este problema:
Port Mirroring(tamén coñecido como SPAN)
Toque en rede(tamén coñecido como Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Antes de explicar as diferenzas entre as dúas solucións (Port Mirror e Network Tap), é importante comprender como funciona Ethernet. A 100 Mbit ou máis, os anfitrións adoitan falar en dúplex completo, o que significa que un host pode enviar (Tx) e recibir (Rx) simultaneamente. Isto significa que nun cable de 100 Mbit conectado a un host, a cantidade total do tráfico de rede que un host pode enviar/recibir (Tx/Rx)) é de 2 × 100 Mbit = 200 Mbit.
A duplicación de portos é a replicación activa de paquetes, o que significa que o dispositivo de rede é fisicamente responsable de copiar o paquete no porto reflectido.
Isto significa que o dispositivo debe realizar esta tarefa usando algún recurso (como a CPU) e que ambas direccións de tráfico replicaranse no mesmo porto. Como se mencionou anteriormente, en A full duplex link, isto significa que
A -> B e B -> A
A suma de A non excederá a velocidade da rede antes de que se produza a perda de paquetes. Isto débese a que fisicamente non hai espazo para copiar paquetes. Resulta que a duplicación de portos é unha técnica estupenda xa que pode ser realizada por moitos conmutadores (pero non todos), porque a maioría dos conmutadores teñen o inconveniente da perda de paquetes, se supervisas unha ligazón con máis do 50% de carga, ou se duplican os portos nun porto máis rápido (por exemplo, os portos de 100 Mbit nun porto de 1 Gbit). Sen esquecer que a duplicación de paquetes pode requirir o intercambio de recursos de conmutadores, o que pode cargar o dispositivo e facer que o rendemento do intercambio se degrade. Teña en conta que pode conectar 1 porto a un porto ou 1 VLAN a un porto, pero xeralmente non pode copiar moitos portos a 1. (Entón, como o espello do paquete) falta.
Un TAP de rede (Punto de acceso terminal)é un dispositivo de hardware totalmente pasivo, que pode capturar de forma pasiva o tráfico nunha rede. Úsase habitualmente para supervisar o tráfico entre dous puntos da rede. Se a rede entre estes dous puntos consiste nun cable físico, un TAP de rede pode ser a mellor forma de capturar o tráfico.
A rede TAP ten polo menos tres portos: un porto A, un porto B e un porto de monitor. Para colocar unha toma entre os puntos A e B, o cable de rede entre o punto A e o punto B substitúese por un par de cables, un para o porto A do TAP, o outro para o porto B do TAP. O TAP pasa todo o tráfico entre os dous puntos de rede, polo que aínda están conectados entre si. O TAP tamén copia o tráfico no seu porto de monitor, permitindo así que un dispositivo de análise escoite.
Os TAP de rede úsanse habitualmente por dispositivos de monitorización e recollida como APS. Os TAP tamén se poden usar en aplicacións de seguridade porque non son molestos, non son detectables na rede, poden xestionar redes full-duplex e non compartidas e, normalmente, transmitirán o tráfico aínda que o toque deixe de funcionar ou perda enerxía.
Como os portos de Network Taps non reciben senón só transmiten, o interruptor non ten nin idea de quen está detrás dos portos. A consecuencia é que transmite os paquetes a todos os portos. Polo tanto, se conecta o dispositivo de vixilancia ao interruptor, ese dispositivo recibirá todos os paquetes. Teña en conta que este mecanismo funciona se o dispositivo de vixilancia non envía ningún paquete ao switch; se non, o interruptor suporá que os paquetes tocados non son para ese dispositivo. Para conseguilo, pode usar un cable de rede no que non teña conectado os cables TX ou usar unha interface de rede sen IP (e sen DHCP) que non transmita paquetes en absoluto. Finalmente, teña en conta que se quere usar un toque para non perder paquetes, non combine as direccións ou use un interruptor onde as direccións tocadas sexan máis lentas (por exemplo, 100 Mbit) que o porto de combinación (por exemplo, 1 Gbit).
Entón, como capturar o tráfico da rede? Rede Taps vs Switch Ports Mirror
1- Fácil configuración: Toque en rede > Port Mirror
2- Influencia no rendemento da rede: toque na rede < Port Mirror
3- Captura, replicación, agregación, capacidade de reenvío: toque en rede > Port Mirror
4- Latencia de reenvío de tráfico: toque en rede < Port Mirror
5- Capacidade de preprocesamento de tráfico: Toque en rede > Port Mirror
Hora de publicación: 30-mar-2022
