Para analisar o tráfego de rede, é necessário enviar o pacote de rede para as ferramentas de segurança e monitoramento NTOP/NProbe ou fora da banda. Existem duas soluções para este problema:
Espelhamento da porta(também conhecido como span)
Tap de rede(Também conhecido como replicação Tap, Agregation Tap, Tap ativo, Tap de cobre, Tap Ethernet, etc.)
Antes de explicar as diferenças entre as duas soluções (espelho da porta e toque de rede), é importante entender como a Ethernet funciona. Em 100Mbit e acima, os hosts geralmente falam em pleno duplex, o que significa que um host pode enviar (TX) e receber (RX) simultaneamente. Isso significa que, em um cabo de 100 Mbit conectado a um host, a quantidade total do tráfego de rede que um host pode enviar/receber (TX/RX)) é de 2 × 100 Mbit = 200 Mbit.
O espelhamento da porta é a replicação de pacotes ativa, o que significa que o dispositivo de rede é fisicamente responsável por copiar o pacote para a porta espelhada.
Isso significa que o dispositivo deve executar essa tarefa usando algum recurso (como a CPU) e as duas instruções de tráfego serão replicadas na mesma porta. Como mencionado anteriormente, em um link duplex completo, isso significa que
A -> B e B -> A
A soma de A não excederá a velocidade da rede antes que a perda de pacotes ocorra. Isso ocorre porque não há espaço fisicamente para copiar pacotes. Acontece que o espelhamento da porta é uma ótima técnica, pois pode ser executada por muitos interruptores (mas não por todos), porque a maioria dos interruptores com a desvantagem da perda de pacotes, se você monitorar um link com mais de 50% de carga ou espelhar as portas em uma porta mais rápida (portas de espelho de 100 Mbit em uma porta de 1 Gbit). Sem mencionar que o espelhamento de pacotes pode exigir recursos de troca de interruptores, que podem carregar o dispositivo e causar o desempenho da troca. Observe que você pode conectar 1 porta a uma porta, ou 1 VLAN a uma porta, mas geralmente não pode copiar muitas portas para 1. (Assim como o espelho do pacote) está ausente.
Uma torneira de rede (ponto de acesso ao terminal)é um dispositivo de hardware totalmente passivo, que pode capturar passivamente o tráfego em uma rede. É comumente usado para monitorar o tráfego entre dois pontos na rede. Se a rede entre esses dois pontos consistir em um cabo físico, uma torneira de rede pode ser a melhor maneira de capturar tráfego.
A torneira da rede possui pelo menos três portas: uma porta A, uma porta B e uma porta de monitor. Para colocar um toque entre os pontos A e B, o cabo de rede entre o ponto A e o ponto B é substituído por um par de cabos, um para a porta da torneira, a outra indo para a porta B da torneira. A torneira passa todo o tráfego entre os dois pontos de rede, para que eles ainda estejam conectados um ao outro. O TAP também copia o tráfego para sua porta de monitor, permitindo que um dispositivo de análise ouça.
As torneiras de rede são comumente usadas por dispositivos de monitoramento e coleta, como o APS. As torneiras também podem ser usadas em aplicativos de segurança, pois não são inobiliáveis, não são detectáveis na rede, podem lidar com redes complexas e não compartilhadas e geralmente fará o tráfego de passagem, mesmo que a torneira pare de funcionar ou perder energia.
Como as portas de torneiras de rede não recebem apenas, mas transmitem, o Switch não tem idéia que está sentado atrás das portas. A conseqüência é que ele transmitia os pacotes para todas as portas. Portanto, se você conectar seu dispositivo de monitoramento ao comutador, esse dispositivo receberá todos os pacotes. Observe que esse mecanismo funciona se o dispositivo de monitoramento não enviar nenhum pacote para o comutador; Caso contrário, o comutador assumirá que os pacotes tocados não são para esse dispositivo. Para conseguir isso, você pode usar um cabo de rede no qual não conectou os fios TX ou use uma interface de rede sem IP (e DHCP-menos) que não transmita pacotes. Finalmente, observe que, se você deseja usar um TAP para não perder pacotes, não mesclará instruções ou use um interruptor onde as instruções tocadas sejam mais lentas (por exemplo, 100 Mbit) que a porta de mesclagem (por exemplo, 1 Gbit).
Então, como capturar o tráfego de rede? Torneiras de rede vs portas de interruptor espelho
1- Configuração fácil: Tap de rede> Espelho de porta
2- Desempenho de rede Influência: Tap de rede <espelho da porta
3- Captura, replicação, agregação, capacidade de encaminhamento: Rede Tap> Porta Mirror
4- Latência de encaminhamento de tráfego: Tap de rede <espelho da porta
5- Capacidade de pré-processamento de tráfego: Tap de rede> espelho da porta
Hora de postagem: mar-30-2022
