Um den Netzwerkverkehr zu analysieren, ist es notwendig, das Netzwerkpaket an NTOP/NPROBE oder Out-of-Band Network Security and Monitoring Tools zu senden. Dafür gibt es zwei Lösungen:
Portspiegelung(auch bekannt als SPAN)
Netzwerk-Tap(auch bekannt als Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap usw.)
Bevor wir die Unterschiede zwischen den beiden Lösungen (Port Mirror und Network Tap) erläutern, ist es wichtig zu verstehen, wie Ethernet funktioniert. Ab 100 Mbit/s kommunizieren Hosts in der Regel im Vollduplex-Modus, d. h. ein Host kann gleichzeitig senden (Tx) und empfangen (Rx). Das bedeutet, dass über ein 100-Mbit-Kabel, das mit einem Host verbunden ist, die Gesamtmenge des Netzwerkverkehrs, den ein Host senden/empfangen (Tx/Rx) kann, 2 × 100 Mbit/s = 200 Mbit/s beträgt.
Beim Port-Mirroring handelt es sich um eine aktive Paketreplikation, d. h. das Netzwerkgerät ist physisch dafür verantwortlich, das Paket auf den gespiegelten Port zu kopieren.
Dies bedeutet, dass das Gerät diese Aufgabe mithilfe einer Ressource (z. B. der CPU) ausführen muss und beide Verkehrsrichtungen auf denselben Port repliziert werden. Wie bereits erwähnt, bedeutet dies bei einer Vollduplexverbindung, dass
A -> B und B -> A
Die Summe von A wird die Netzwerkgeschwindigkeit nicht überschreiten, bevor Paketverlust auftritt. Das liegt daran, dass physisch kein Platz zum Kopieren von Paketen vorhanden ist. Es stellt sich heraus, dass Port-Spiegelung eine großartige Technik ist, da sie von vielen (aber nicht allen) Switches durchgeführt werden kann, da die meisten Switches den Nachteil von Paketverlusten haben, wenn Sie eine Verbindung mit über 50 % Auslastung überwachen oder die Ports auf einen schnelleren Port spiegeln (z. B. 100-Mbit-Ports auf einen 1-GBit-Port spiegeln). Ganz zu schweigen davon, dass die Paketspiegelung möglicherweise den Austausch von Switch-Ressourcen erfordert, wodurch das Gerät belastet werden und die Austauschleistung beeinträchtigt werden kann. Beachten Sie, dass Sie 1 Port mit einem Port oder 1 VLAN mit einem Port verbinden können, aber im Allgemeinen nicht viele Ports auf 1 kopieren können. (Da also die Paketspiegelung fehlt.
Ein Netzwerk-TAP (Terminal Access Point)ist ein vollständig passives Hardwaregerät, das den Datenverkehr in einem Netzwerk passiv erfassen kann. Es wird üblicherweise verwendet, um den Datenverkehr zwischen zwei Punkten im Netzwerk zu überwachen. Besteht das Netzwerk zwischen diesen beiden Punkten aus einem physischen Kabel, ist ein Netzwerk-TAP möglicherweise die beste Möglichkeit, den Datenverkehr zu erfassen.
Der Netzwerk-TAP verfügt über mindestens drei Ports: einen A-Port, einen B-Port und einen Monitor-Port. Um einen Tap zwischen den Punkten A und B zu platzieren, wird das Netzwerkkabel zwischen Punkt A und Punkt B durch ein Kabelpaar ersetzt, wobei eines zum A-Port des TAPs und das andere zum B-Port des TAPs führt. Der TAP leitet den gesamten Datenverkehr zwischen den beiden Netzwerkpunkten weiter, sodass diese weiterhin miteinander verbunden sind. Der TAP kopiert den Datenverkehr außerdem auf seinen Monitor-Port, sodass ein Analysegerät mithören kann.
Netzwerk-TAPs werden häufig von Überwachungs- und Datenerfassungsgeräten wie APS verwendet. TAPs eignen sich auch für Sicherheitsanwendungen, da sie unauffällig und im Netzwerk nicht erkennbar sind, mit Vollduplex- und nicht gemeinsam genutzten Netzwerken umgehen können und den Datenverkehr in der Regel auch dann weiterleiten, wenn der Tap nicht mehr funktioniert oder die Stromversorgung unterbrochen wird.
Da die Ports von Netzwerk-Taps nicht empfangen, sondern nur senden, hat der Switch keine Ahnung, wer sich hinter den Ports befindet. Die Konsequenz ist, dass er die Pakete an alle Ports sendet. Wenn Sie also Ihr Überwachungsgerät an den Switch anschließen, empfängt dieses Gerät alle Pakete. Beachten Sie, dass dieser Mechanismus funktioniert, wenn das Überwachungsgerät keine Pakete an den Switch sendet. Andernfalls nimmt der Switch an, dass die abgehörten Pakete nicht für dieses Gerät bestimmt sind. Um dies zu erreichen, können Sie entweder ein Netzwerkkabel verwenden, an das Sie die TX-Kabel nicht angeschlossen haben, oder eine IP-lose (und DHCP-lose) Netzwerkschnittstelle, die überhaupt keine Pakete überträgt. Beachten Sie abschließend: Wenn Sie einen Tap verwenden möchten, um keine Pakete zu verlieren, dürfen Sie entweder keine Richtungen zusammenführen oder einen Switch verwenden, bei dem die abgehörten Richtungen langsamer sind (z. B. 100 Mbit) als der Zusammenführungsport (z. B. 1 Gbit).
Wie erfasst man Netzwerkverkehr? Netzwerk-Taps vs. Switch-Port-Spiegel
1- Einfache Konfiguration: Netzwerk-Tap > Port Mirror
2- Einfluss auf die Netzwerkleistung: Netzwerk-Tap < Port Mirror
3- Erfassung, Replikation, Aggregation, Weiterleitungsfähigkeit: Netzwerk-Tap > Port Mirror
4- Latenz der Verkehrsweiterleitung: Netzwerk-Tap < Port Mirror
5- Kapazität zur Vorverarbeitung des Datenverkehrs: Netzwerk-Tap > Port Mirror
Veröffentlichungszeit: 30. März 2022
