Como capturar o tráfego de rede? Tap de rede vs espelho de porta

Para analisar o tráfego de rede, é necessário enviar o pacote de rede para NTOP/NPROBE ou Ferramentas de Monitoramento e Segurança de Rede Fora de Banda. Existem duas soluções para este problema:

Espelhamento de porta(também conhecido como SPAN)

Toque de rede(também conhecido como Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)

Antes de explicar as diferenças entre as duas soluções (Port Mirror e Network Tap), é importante entender como funciona a Ethernet. A 100 Mbit e acima, os hosts geralmente falam em full duplex, o que significa que um host pode enviar (Tx) e receber (Rx) simultaneamente. Isso significa que em um cabo de 100 Mbit conectado a um host, a quantidade total de tráfego de rede que um host pode enviar/receber (Tx/Rx)) é 2 × 100 Mbit = 200 Mbit.

O espelhamento de porta é a replicação ativa de pacotes, o que significa que o dispositivo de rede é fisicamente responsável por copiar o pacote para a porta espelhada.

espelho de porta de switch de rede

Isso significa que o dispositivo deve realizar esta tarefa utilizando algum recurso (como a CPU), e ambas as direções de tráfego serão replicadas para a mesma porta. Conforme mencionado anteriormente, em um link full duplex, isso significa que

A -> B e B -> A

A soma de A não excederá a velocidade da rede antes que ocorra a perda de pacotes. Isso ocorre porque fisicamente não há espaço para copiar pacotes. Acontece que o espelhamento de portas é uma ótima técnica, pois pode ser realizado por muitos switches (mas não todos), pois a maioria dos switches tem a desvantagem de perda de pacotes, se você monitorar um link com mais de 50% de carga, ou espelhar o portas em uma porta mais rápida (por exemplo, espelhe portas de 100 Mbit em uma porta de 1 Gbit). Sem mencionar que o espelhamento de pacotes pode exigir a troca de recursos dos switches, o que pode carregar o dispositivo e causar degradação no desempenho da troca. Observe que você pode conectar 1 porta a uma porta ou 1 VLAN a uma porta, mas geralmente não é possível copiar muitas portas para 1. (Assim como o espelho de pacotes) está faltando.

Um TAP de rede (ponto de acesso de terminal)é um dispositivo de hardware totalmente passivo, que pode capturar passivamente o tráfego em uma rede. É comumente usado para monitorar o tráfego entre dois pontos da rede. Se a rede entre esses dois pontos consistir em um cabo físico, uma rede TAP pode ser a melhor forma de capturar o tráfego.

O TAP da rede possui pelo menos três portas: uma porta A, uma porta B e uma porta de monitor. Para colocar um tap entre os pontos A e B, o cabo de rede entre o ponto A e o ponto B é substituído por um par de cabos, um vai para a porta A do TAP, o outro vai para a porta B do TAP. O TAP passa todo o tráfego entre os dois pontos da rede, portanto eles ainda estão conectados entre si. O TAP também copia o tráfego para sua porta monitor, permitindo assim que um dispositivo de análise escute.

Os TAPs de rede são comumente usados ​​por dispositivos de monitoramento e coleta, como APS. Os TAPs também podem ser usados ​​em aplicações de segurança porque não são intrusivos, não são detectáveis ​​na rede, podem lidar com redes full-duplex e não compartilhadas e geralmente passam o tráfego mesmo se o tap parar de funcionar ou perder energia. .

agregação de toque de rede

Como as portas Network Taps não recebem, mas apenas transmitem, o switch não tem ideia de quem está atrás das portas. A consequência é que ele transmite os pacotes para todas as portas. Portanto, se você conectar seu dispositivo de monitoramento ao switch, tal dispositivo receberá todos os pacotes. Observe que esse mecanismo funciona se o dispositivo de monitoramento não enviar nenhum pacote ao switch; caso contrário, o switch assumirá que os pacotes explorados não são para tal dispositivo. Para conseguir isso, você pode usar um cabo de rede no qual não conectou os fios TX ou usar uma interface de rede sem IP (e sem DHCP) que não transmita pacotes. Finalmente, observe que se você quiser usar um tap para não perder pacotes, então não mescle as direções ou use um switch onde as direções tocadas sejam mais lentas (por exemplo, 100 Mbit) que a porta de mesclagem (por exemplo, 1 Gbit).

replicação de toque de rede

Então, como capturar o tráfego de rede? Espelho de torneiras de rede versus portas de switch

1- Fácil configuração: Network Tap > Port Mirror

2- Influência no desempenho da rede: Network Tap <Port Mirror

3- Capacidade de captura, replicação, agregação e encaminhamento: Toque em rede> Espelho de porta

4- Latência de encaminhamento de tráfego: Network Tap <Port Mirror

5- Capacidade de pré-processamento de tráfego: Network Tap > Port Mirror

torneiras de rede vs espelho de portas


Horário da postagem: 30 de março de 2022