برای تحلیل ترافیک شبکه، لازم است بسته شبکه به NTOP/NPROBE یا ابزارهای امنیت و نظارت شبکه خارج از باند ارسال شود. دو راه حل برای این مشکل وجود دارد:
آینه کاری بندر(همچنین به عنوان SPAN شناخته میشود)
شیر شبکه(همچنین با نامهای Replication Tap، Aggregation Tap، Active Tap، Copper Tap، Ethernet Tap و غیره شناخته میشود.)
قبل از توضیح تفاوتهای بین دو راهکار (Port Mirror و Network Tap)، درک نحوهی کار اترنت مهم است. در سرعتهای ۱۰۰ مگابیت و بالاتر، میزبانها معمولاً به صورت کاملاً دوطرفه (full duplex) ارتباط برقرار میکنند، به این معنی که یک میزبان میتواند همزمان ارسال (Tx) و دریافت (Rx) داشته باشد. این بدان معناست که در یک کابل ۱۰۰ مگابیتی متصل به یک میزبان، کل ترافیک شبکهای که یک میزبان میتواند ارسال/دریافت (Tx/Rx) کند، ۲ × ۱۰۰ مگابیت = ۲۰۰ مگابیت است.
Port mirroring یک تکثیر فعال بسته است، به این معنی که دستگاه شبکه از نظر فیزیکی مسئول کپی کردن بسته به پورت mirror شده است.
این بدان معناست که دستگاه باید این کار را با استفاده از برخی منابع (مانند CPU) انجام دهد و هر دو جهت ترافیک به همان پورت کپی میشوند. همانطور که قبلاً ذکر شد، در یک لینک دوطرفه کامل، این بدان معناست که
الف -> ب و ب -> الف
مجموع A قبل از اینکه از دست رفتن بسته رخ دهد، از سرعت شبکه تجاوز نخواهد کرد. دلیل این امر این است که از نظر فیزیکی فضایی برای کپی کردن بستهها وجود ندارد. مشخص شده است که آینهسازی پورت یک تکنیک عالی است زیرا میتواند توسط بسیاری از سوئیچها (اما نه همه) انجام شود، زیرا اکثر سوئیچهایی که با مشکل از دست رفتن بستهها مواجه هستند، اگر لینکی را با بار بیش از 50٪ نظارت کنید، یا پورتها را روی یک پورت سریعتر آینه کنید (مثلاً پورتهای 100 مگابیتی را روی یک پورت 1 گیگابیتی آینه کنید). ناگفته نماند که آینهسازی بسته ممکن است نیاز به تبادل منابع سوئیچها داشته باشد که ممکن است دستگاه را بارگذاری کند و باعث کاهش عملکرد تبادل شود. توجه داشته باشید که میتوانید 1 پورت را به یک پورت یا 1 VLAN را به یک پورت وصل کنید، اما معمولاً نمیتوانید پورتهای زیادی را به 1 کپی کنید. (بنابراین آینهسازی بسته وجود ندارد).
یک نقطه دسترسی ترمینال (Network TAP)یک دستگاه سختافزاری کاملاً غیرفعال است که میتواند ترافیک شبکه را به صورت غیرفعال ضبط کند. معمولاً برای نظارت بر ترافیک بین دو نقطه در شبکه استفاده میشود. اگر شبکه بین این دو نقطه از یک کابل فیزیکی تشکیل شده باشد، یک TAP شبکه ممکن است بهترین راه برای ضبط ترافیک باشد.
TAP شبکه حداقل سه پورت دارد: یک پورت A، یک پورت B و یک پورت مانیتور. برای قرار دادن یک tap بین نقاط A و B، کابل شبکه بین نقطه A و نقطه B با یک جفت کابل جایگزین میشود که یکی به پورت A مربوط به TAP و دیگری به پورت B مربوط به TAP میرود. TAP تمام ترافیک را بین دو نقطه شبکه عبور میدهد، بنابراین آنها همچنان به یکدیگر متصل هستند. TAP همچنین ترافیک را به پورت مانیتور خود کپی میکند و به این ترتیب یک دستگاه تجزیه و تحلیل را قادر به گوش دادن میکند.
TAP های شبکه معمولاً توسط دستگاههای نظارتی و جمعآوری مانند APS استفاده میشوند. TAP ها همچنین میتوانند در کاربردهای امنیتی مورد استفاده قرار گیرند زیرا مزاحم نیستند، در شبکه قابل تشخیص نیستند، میتوانند با شبکههای کاملاً دوطرفه و غیرمشترک کار کنند و معمولاً حتی اگر TAP از کار بیفتد یا برق آن قطع شود، ترافیک را عبور میدهند.
از آنجایی که پورتهای Network Taps فقط دریافت نمیکنند، بلکه ارسال میکنند، سوئیچ هیچ سرنخی از اینکه چه کسی پشت پورتها نشسته است، ندارد. نتیجه این است که بستهها را به همه پورتها ارسال میکند. بنابراین، اگر دستگاه مانیتورینگ خود را به سوئیچ متصل کنید، چنین دستگاهی همه بستهها را دریافت خواهد کرد. توجه داشته باشید که این مکانیسم در صورتی کار میکند که دستگاه مانیتورینگ هیچ بستهای را به سوئیچ ارسال نکند؛ در غیر این صورت، سوئیچ فرض میکند که بستههای دریافت شده برای چنین دستگاهی نیستند. برای دستیابی به این هدف، میتوانید از کابل شبکهای استفاده کنید که سیمهای TX را به آن متصل نکردهاید، یا از یک رابط شبکه بدون IP (و بدون DHCP) استفاده کنید که اصلاً بستهای را ارسال نمیکند. در نهایت توجه داشته باشید که اگر میخواهید از Tap برای از دست ندادن بستهها استفاده کنید، یا جهتها را ادغام نکنید یا از سوئیچی استفاده کنید که جهتهای دریافت شده در آن کندتر (مثلاً ۱۰۰ مگابیت) از پورت ادغام (مثلاً ۱ گیگابیت) باشند.
بنابراین، چگونه ترافیک شبکه را ضبط کنیم؟ Network Taps در مقابل Switch Ports Mirror
۱- پیکربندی آسان: Network Tap > Port Mirror
۲- تأثیر بر عملکرد شبکه: Network Tap < Port Mirror
۳- قابلیت ضبط، تکثیر، تجمیع، ارسال: Network Tap > Port Mirror
۴- تأخیر در ارسال ترافیک: Network Tap < Port Mirror
۵- ظرفیت پیشپردازش ترافیک: Network Tap > Port Mirror
زمان ارسال: 30 مارس 2022
