Да би се анализирао мрежни саобраћај, потребно је послати мрежни пакет на NTOP/NPROBE или Out-of-band Network Security and Monitoring Tools. Постоје два решења за овај проблем:
Огледање портова(такође познат као SPAN)
Мрежни додир(такође познат као репликациони одвод, агрегациони одвод, активни одвод, бакарни одвод, етернет одвод итд.)
Пре него што објаснимо разлике између ова два решења (Port Mirror и Network Tap), важно је разумети како Ethernet функционише. При брзинама од 100 Mbit и више, хостови обично комуницирају у пуном дуплексу, што значи да један хост може истовремено да шаље (Tx) и прима (Rx). То значи да је на каблу од 100 Mbit повезаном са једним хостом укупна количина мрежног саобраћаја коју један хост може да шаље/прима (Tx/Rx) 2 × 100 Mbit = 200 Mbit.
Огледало порта је активна репликација пакета, што значи да је мрежни уређај физички одговоран за копирање пакета на огледани порт.
То значи да уређај мора да изврши овај задатак користећи неки ресурс (као што је процесор), и оба смера саобраћаја ће бити реплицирана на исти порт. Као што је раније поменуто, код потпуно дуплекс везе, то значи да
А - > Б и Б -> А
Збир А неће прећи брзину мреже пре него што дође до губитка пакета. То је зато што физички нема простора за копирање пакета. Испоставља се да је пресликавање портова одлична техника јер је могу извршити многи свичеви (али не сви), јер већина свичева има недостатак губитка пакета, ако пратите везу са преко 50% оптерећења, или пресликава портове на бржи порт (нпр. пресликавајте портове од 100 Mbit на порт од 1 Gbit). А да не помињемо да пресликавање пакета може захтевати размену ресурса свичева, што може оптеретити уређај и проузроковати смањење перформанси размене. Имајте на уму да можете повезати 1 порт на један порт или 1 VLAN на један порт, али генерално не можете копирати више портова на 1. (Дакле, пресликавање пакета) недостаје.
Мрежна TAP (Терминална приступна тачка)је потпуно пасивни хардверски уређај који може пасивно да снима саобраћај на мрежи. Обично се користи за праћење саобраћаја између две тачке у мрежи. Ако се мрежа између ове две тачке састоји од физичког кабла, мрежни TAP може бити најбољи начин за снимање саобраћаја.
Мрежни TAP има најмање три порта: A порт, B порт и порт за праћење. Да би се поставио одвод између тачака A и B, мрежни кабл између тачке A и тачке B се замењује са паром каблова, један иде до A порта TAP-а, а други до B порта TAP-а. TAP пропушта сав саобраћај између две мрежне тачке, тако да су оне и даље повезане једна са другом. TAP такође копира саобраћај до свог порта за праћење, омогућавајући тако уређају за анализу да слуша.
Мрежне TAP-ове обично користе уређаји за праћење и прикупљање података као што су APS. TAP-ови се такође могу користити у безбедносним апликацијама јер нису наметљиви, не могу се открити на мрежи, могу да раде са full-duplex и non-deljenim мрежама и обично ће пропуштати саобраћај чак и ако TAP престане да ради или остане без напајања.
Пошто портови мрежних тапова не примају већ само преносе, свитч нема појма ко се налази иза портова. Последица је да емитује пакете на све портове. Стога, ако повежете свој уређај за праћење са свитчем, тај уређај ће примити све пакете. Имајте на уму да овај механизам функционише ако уређај за праћење не шаље ниједан пакет свитчу; у супротном, свитч ће претпоставити да прихваћени пакети нису за тај уређај. Да бисте то постигли, можете користити мрежни кабл на који нисте повезали TX жице или користити мрежни интерфејс без IP-а (и DHCP-а) који уопште не преноси пакете. На крају, имајте на уму да ако желите да користите тап да не бисте изгубили пакете, онда или не спајајте правце или користите свитч где су прихваћени правци спорији (нпр. 100 Mbit) од порта за спајање (нпр. 1 Gbit).
Дакле, како да снимите мрежни саобраћај? Мрежни тапови наспрам огледала портова свича
1- Једноставна конфигурација: Мрежни додир > Огледало порта
2- Утицај на перформансе мреже: Мрежни тап < Порт огледало
3- Снимање, репликација, агрегација, могућност прослеђивања: Мрежни додир > Огледало порта
4- Кашњење преусмеравања саобраћаја: Мрежни додир < Огледало порта
5- Капацитет претходне обраде саобраћаја: Мрежни додир > Огледало порта
Време објаве: 30. март 2022.
