NetTAP® چگونه ترافیک شبکه را بگیریم؟

چگونه ترافیک شبکه را ضبط کنیم؟Port Mirror در مقابل Network Tap

برای تجزیه و تحلیل ترافیک شبکه، لازم است بسته شبکه به NTOP/NPROBE ارسال شود.دو راه حل برای این مشکل وجود دارد:

Port Mirroring(همچنین به عنوان SPAN شناخته می شود)

روی شبکه ضربه بزنید(همچنین به نام های Replication Tap، Aggregation Tap، Active Tap، Copper Tap، Ethernet Tap و غیره نیز شناخته می شود)

قبل از توضیح تفاوت بین دو راه حل (Port Mirror و Network Tap)، مهم است که بدانیم اترنت چگونه کار می کند.در 100 مگابیت و بالاتر، هاست ها معمولاً به صورت تمام دوبلکس صحبت می کنند، به این معنی که یک میزبان می تواند همزمان (Tx) و دریافت (Rx) را ارسال کند.این بدان معناست که در کابل 100 مگابیت متصل به یک هاست، مجموع ترافیک شبکه ای که یک میزبان می تواند ارسال/دریافت کند (Tx/Rx)) 2 × 100 مگابیت = 200 مگابیت است.

Port Mirroring یک بسته فعال است که به این معنی است که دستگاه شبکه از نظر فیزیکی مسئول کپی کردن بسته در پورت آینه شده است.

این بدان معنی است که دستگاه باید این کار را با استفاده از برخی منابع (مانند CPU) انجام دهد و هر دو جهت ترافیک به یک پورت تکرار می شوند.همانطور که قبلا ذکر شد، در یک لینک کامل دوبلکس، این به این معنی است

الف- >؛B و B -> A;

مجموع A از سرعت شبکه قبل از از دست دادن بسته تجاوز نمی کند.این به این دلیل است که وجود دارداز نظر فیزیکیفضایی برای کپی بسته ها وجود ندارد.به نظر می رسد که انعکاس پورت یک تکنیک عالی استزیرا می تواند توسط بسیاری از سوئیچ ها (اما نه همه) انجام شود.، زیرا اکثر سوئیچ هابا اشکال از دست دادن بسته، اگر پیوندی را با بار بیش از 50 درصد رصد کنید، یا پورت‌ها را روی یک پورت سریع‌تر آینه کنید (مثلاً پورت‌های 100 مگابیت را روی یک پورت 1 گیگابیتی بازتاب دهید).ناگفته نماند که انعکاس بسته ممکن است نیاز به تبادل منابع سوئیچ داشته باشد که ممکن است دستگاه را بارگیری کند و باعث کاهش عملکرد تبادل شود.توجه داشته باشید که می توانید 1 پورت را به یک پورت یا 1 VLAN را به یک پورت وصل کنید، اما معمولا نمی توانید بسیاری از پورت ها را به 1 کپی کنید.آینه بسته) وجود ندارد.

یک شبکه TAP (نقطه دسترسی ترمینال)یک دستگاه سخت افزاری کاملا غیرفعال است که می تواند به صورت غیرفعال ترافیک شبکه را ضبط کند.معمولاً برای نظارت بر ترافیک بین دو نقطه در شبکه استفاده می شود.اگر شبکه بین این دو نقطه از یک کابل فیزیکی تشکیل شده باشد، TAP شبکه ممکن است بهترین راه برای جذب ترافیک باشد.

شبکه TAP حداقل دارای سه پورت است: یک پورت A، یک پورت B و یک پورت مانیتور.برای قرار دادن یک شیر بین نقاط A و B، کابل شبکه بین نقطه A و نقطه B با یک جفت کابل جایگزین می شود که یکی به پورت A TAP و دیگری به درگاه B TAP می رود.TAP تمام ترافیک بین دو نقطه شبکه را منتقل می کند، بنابراین آنها همچنان به یکدیگر متصل هستند.TAP همچنین ترافیک را در پورت مانیتور خود کپی می کند، بنابراین دستگاه تجزیه و تحلیل را قادر می سازد گوش دهد.

TAP های شبکه معمولاً توسط دستگاه های نظارت و جمع آوری مانند APS استفاده می شوند.TAP ها همچنین می توانند در برنامه های امنیتی مورد استفاده قرار گیرند زیرا غیر مزاحم هستند، در شبکه قابل شناسایی نیستند، می توانند با شبکه های تمام دوبلکس و غیر اشتراکی برخورد کنند و معمولاً از ترافیک عبور می کنند حتی اگر شیر از کار بیفتد یا برق قطع شود. .

از آنجایی که پورت های Network Taps دریافت نمی کنند، بلکه فقط ارسال می کنند، سوئیچ هیچ سرنخی ندارد که چه کسی پشت پورت ها نشسته است.نتیجه این است که بسته ها را به همه پورت ها پخش می کند.بنابراین اگر دستگاه مانیتورینگ خود را به سوئیچ متصل کنید، چنین دستگاهی تمام بسته ها را دریافت می کند.توجه داشته باشید که این مکانیسم در صورتی کار می کند که دستگاه مانیتورینگ هیچ بسته ای را به سوئیچ ارسال نکند، در غیر این صورت سوئیچ فرض می کند که بسته های ضربه زده شده برای چنین دستگاهی نیستند.برای دستیابی به آن، می توانید از کابل شبکه ای استفاده کنید که سیم های TX را به آن وصل نکرده اید، یا از یک رابط شبکه بدون IP (و بدون DHCP) استفاده کنید که به هیچ وجه بسته ها را ارسال نمی کند.در نهایت توجه داشته باشید که اگر می‌خواهید از یک ضربه برای از بین نرفتن بسته‌ها استفاده کنید، یا جهت‌ها را ادغام نکنید یا از سوئیچ‌هایی استفاده کنید که در آن جهت‌های ضربه‌خورده شده کندتر هستند (مثلاً 100 مگابیت) نسبت به پورت ادغام (مثلاً 1 گیگابیت).