Um den Netzwerkverkehr zu analysieren, ist es notwendig, das Netzwerkpaket an NTOP/NPROBE oder Out-of-Band Network Security and Monitoring Tools zu senden. Für dieses Problem gibt es zwei Lösungen:
Portspiegelung(auch bekannt als SPAN)
Netzwerk tippen(auch bekannt als Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap usw.)
Bevor wir die Unterschiede zwischen den beiden Lösungen (Port Mirror und Network Tap) erklären, ist es wichtig zu verstehen, wie Ethernet funktioniert. Bei 100 Mbit und mehr kommunizieren Hosts normalerweise im Vollduplexmodus, was bedeutet, dass ein Host gleichzeitig senden (Tx) und empfangen (Rx) kann. Das bedeutet, dass auf einem 100-Mbit-Kabel, das mit einem Host verbunden ist, die Gesamtmenge des Netzwerkverkehrs, den ein Host senden/empfangen kann (Tx/Rx), 2 × 100 Mbit = 200 Mbit beträgt.
Bei der Portspiegelung handelt es sich um eine aktive Paketreplikation, was bedeutet, dass das Netzwerkgerät physisch für das Kopieren des Pakets auf den gespiegelten Port verantwortlich ist.
Dies bedeutet, dass das Gerät diese Aufgabe unter Verwendung einer Ressource (z. B. der CPU) ausführen muss und beide Verkehrsrichtungen auf denselben Port repliziert werden. Wie bereits erwähnt, bedeutet dies bei einer Vollduplex-Verbindung Folgendes
A -> B und B -> A
Die Summe von A wird die Netzwerkgeschwindigkeit nicht überschreiten, bevor ein Paketverlust auftritt. Dies liegt daran, dass physisch kein Platz zum Kopieren von Paketen vorhanden ist. Es stellt sich heraus, dass die Portspiegelung eine großartige Technik ist, da sie von vielen Switches (aber nicht allen) durchgeführt werden kann, da die meisten Switches den Nachteil haben, dass Pakete verloren gehen, wenn Sie eine Verbindung mit über 50 % Auslastung überwachen oder spiegeln Ports auf einen schnelleren Port (z. B. 100-Mbit-Ports auf einen 1-Gbit-Port spiegeln). Ganz zu schweigen davon, dass die Paketspiegelung möglicherweise den Austausch von Switch-Ressourcen erfordert, was das Gerät belasten und zu einer Verschlechterung der Austauschleistung führen kann. Beachten Sie, dass Sie 1 Port mit einem Port oder 1 VLAN mit einem Port verbinden können, aber im Allgemeinen nicht viele Ports auf einen kopieren können. (So wie der Paketspiegel) fehlt.
Ein Netzwerk-TAP (Terminal Access Point)ist ein vollständig passives Hardwaregerät, das den Datenverkehr in einem Netzwerk passiv erfassen kann. Es wird üblicherweise zur Überwachung des Datenverkehrs zwischen zwei Punkten im Netzwerk verwendet. Wenn das Netzwerk zwischen diesen beiden Punkten aus einem physischen Kabel besteht, ist ein Netzwerk-TAP möglicherweise die beste Möglichkeit, den Datenverkehr zu erfassen.
Der Netzwerk-TAP verfügt über mindestens drei Ports: einen A-Port, einen B-Port und einen Monitor-Port. Um einen Tap zwischen den Punkten A und B zu platzieren, wird das Netzwerkkabel zwischen Punkt A und Punkt B durch ein Kabelpaar ersetzt, von dem eines zum A-Port des TAP und das andere zum B-Port des TAP führt. Der TAP leitet den gesamten Datenverkehr zwischen den beiden Netzwerkpunkten weiter, sodass diese weiterhin miteinander verbunden sind. Der TAP kopiert den Datenverkehr auch auf seinen Monitor-Port und ermöglicht so einem Analysegerät das Abhören.
Netzwerk-TAPs werden häufig von Überwachungs- und Erfassungsgeräten wie APS verwendet. TAPs können auch in Sicherheitsanwendungen verwendet werden, da sie unauffällig sind, im Netzwerk nicht erkennbar sind, mit Vollduplex- und nicht gemeinsam genutzten Netzwerken umgehen können und den Datenverkehr in der Regel auch dann weiterleiten, wenn der Tap nicht mehr funktioniert oder die Stromversorgung ausfällt .
Da Network Taps-Ports nicht empfangen, sondern nur senden, hat der Switch keine Ahnung, wer sich hinter den Ports befindet. Die Folge ist, dass die Pakete an alle Ports gesendet werden. Wenn Sie also Ihr Überwachungsgerät an den Switch anschließen, empfängt dieses Gerät alle Pakete. Beachten Sie, dass dieser Mechanismus funktioniert, wenn das Überwachungsgerät kein Paket an den Switch sendet; andernfalls geht der Switch davon aus, dass die abgehörten Pakete nicht für dieses Gerät bestimmt sind. Um dies zu erreichen, können Sie entweder ein Netzwerkkabel verwenden, an dem Sie die TX-Drähte nicht angeschlossen haben, oder eine IP-lose (und DHCP-lose) Netzwerkschnittstelle verwenden, die überhaupt keine Pakete überträgt. Beachten Sie abschließend: Wenn Sie einen Tap verwenden möchten, um keine Pakete zu verlieren, führen Sie entweder keine Richtungen zusammen oder verwenden Sie einen Switch, bei dem die angezapften Richtungen langsamer sind (z. B. 100 Mbit) als der Zusammenführungsport (z. B. 1 Gbit).
Wie erfasst man also den Netzwerkverkehr? Netzwerk-Taps vs. Switch-Ports-Spiegelung
1- Einfache Konfiguration: Netzwerk Tippen Sie auf > Port Mirror
2- Einfluss auf die Netzwerkleistung: Netzwerk-Tap < Port Mirror
3- Erfassungs-, Replikations-, Aggregations- und Weiterleitungsfunktionen: Netzwerk Tippen Sie auf > Port Mirror
4- Latenz der Datenverkehrsweiterleitung: Netzwerk Tippen Sie auf <Port Mirror
5- Kapazität der Datenverkehrsvorverarbeitung: Netzwerk Tippen Sie auf > Port Mirror
Zeitpunkt der Veröffentlichung: 30. März 2022