به منظور تجزیه و تحلیل ترافیک شبکه ، لازم است بسته شبکه را به ابزارهای امنیتی و نظارت بر شبکه NTOP/NPROBE یا خارج از باند ارسال کنید. دو راه حل برای این مشکل وجود دارد:
درگاه آینه کاری(همچنین به عنوان Span شناخته می شود)
شیر شبکه(همچنین به عنوان شیر تکثیر ، شیر آب ، شیر فعال ، شیر مس ، شیر اترنت و غیره شناخته می شود)
قبل از توضیح تفاوت بین دو راه حل (آینه بندر و شیر شبکه) ، درک چگونگی عملکرد اترنت مهم است. در 100 مگابایت و بالاتر ، میزبان ها معمولاً در دوبلکس کامل صحبت می کنند ، به این معنی که یک میزبان می تواند (TX) را ارسال کند و همزمان دریافت کند (RX). این بدان معنی است که در یک کابل 100 مگابایتی متصل به یک میزبان ، کل ترافیک شبکه ای که یک میزبان می تواند ارسال یا دریافت کند (TX/RX)) 2 × 100 mbit = 200 Mbit است.
آینه سازی بندر تکثیر بسته فعال است ، به این معنی که دستگاه شبکه از نظر جسمی مسئول کپی کردن بسته در درگاه آینه است.
این بدان معنی است که دستگاه باید با استفاده از برخی از منابع (مانند CPU) این کار را انجام دهد و هر دو جهت ترافیک به همان درگاه تکرار می شوند. همانطور که قبلاً ذکر شد ، در یک پیوند کامل دوبلکس ، این بدان معنی است که
a -> b و b -> a
قبل از وقوع از دست دادن بسته ، مبلغ A از سرعت شبکه فراتر نمی رود. این امر به این دلیل است که از نظر جسمی هیچ فضایی برای کپی کردن بسته ها وجود ندارد. به نظر می رسد که آینه کاری بندر یک تکنیک عالی است زیرا می تواند توسط بسیاری از سوئیچ ها (اما نه همه) انجام شود ، زیرا بیشتر سوئیچ ها با اشکال از دست دادن بسته ، اگر پیوند با بیش از 50 ٪ بار را کنترل کنید ، یا درگاه ها را روی یک درگاه سریعتر آینه می کنید (به عنوان مثال Mirror 100 Mbit بر روی یک درگاه 1 GBIT). لازم به ذکر نیست که آینه کاری بسته ممکن است نیاز به تبادل منابع سوئیچ داشته باشد ، که ممکن است دستگاه را بارگیری کرده و باعث تخریب عملکرد تبادل شود. توجه داشته باشید که می توانید 1 درگاه را به یک درگاه یا 1 VLAN به یک درگاه وصل کنید ، اما به طور کلی نمی توانید بسیاری از درگاه ها را به 1. کپی کنید. (بنابراین به عنوان آینه بسته) از دست رفته است.
شیر آب (نقطه دسترسی ترمینال)یک دستگاه سخت افزار کاملاً منفعل است که می تواند ترافیک را در یک شبکه به طور منفعلانه ضبط کند. معمولاً برای نظارت بر ترافیک بین دو نقطه در شبکه استفاده می شود. اگر شبکه بین این دو نقطه از یک کابل فیزیکی تشکیل شود ، شیر آب ممکن است بهترین راه برای گرفتن ترافیک باشد.
شیر شبکه دارای حداقل سه پورت است: یک درگاه A ، پورت B و درگاه مانیتور. برای قرار دادن شیر بین نقاط A و B ، کابل شبکه بین نقطه A و نقطه B با یک جفت کابل جایگزین می شود ، یکی به درگاه A TAP می رود ، دیگری دیگری که به درگاه B TAP می رود. TAP تمام ترافیک بین دو نقطه شبکه را منتقل می کند ، بنابراین آنها هنوز هم به یکدیگر وصل می شوند. TAP همچنین ترافیک را به درگاه مانیتور خود کپی می کند ، بنابراین یک دستگاه تجزیه و تحلیل را قادر می سازد تا گوش کند.
شیرهای شبکه معمولاً توسط دستگاه های نظارت و جمع آوری مانند APS استفاده می شود. TAP ها همچنین می توانند در برنامه های امنیتی مورد استفاده قرار گیرند زیرا آنها غیر قابل تحمل هستند ، در شبکه قابل تشخیص نیستند ، می توانند با شبکه های کامل و غیر مشترک سروکار داشته باشند و معمولاً حتی اگر شیر کار متوقف شود یا قدرت را از دست بدهد ، ترافیک را پشت سر می گذارد.
از آنجا که درگاه های شیرهای شبکه فقط دریافت نمی کنند بلکه انتقال می یابند ، سوئیچ هیچ سرنخی ندارد که در پشت درگاه نشسته باشد. نتیجه این است که بسته ها را به همه درگاه ها پخش می کند. بنابراین ، اگر دستگاه مانیتورینگ خود را به سوئیچ وصل کنید ، چنین دستگاهی تمام بسته ها را دریافت می کند. توجه داشته باشید که اگر دستگاه مانیتور هیچ بسته ای را به سوئیچ ارسال نکند ، این مکانیسم کار می کند. در غیر این صورت ، سوئیچ فرض می کند که بسته های ضربه خورده برای چنین دستگاهی نیست. برای دستیابی به این هدف ، می توانید از کابل شبکه ای استفاده کنید که سیم های TX را به آن وصل نکرده اید ، یا از یک رابط شبکه IP کمتر (و DHCP- کمتر) استفاده کنید که به هیچ وجه بسته ها را منتقل نمی کند. در آخر توجه داشته باشید که اگر می خواهید برای از دست دادن بسته ها از شیر استفاده کنید ، یا دستورالعمل ها را ادغام نکنید یا از سوئیچ استفاده کنید که در آن جهت های ضربه خورده کندتر باشد (به عنوان مثال 100 مگابایت) که درگاه ادغام (به عنوان مثال 1 گیگابایت).
بنابراین ، چگونه می توان ترافیک شبکه را ضبط کرد؟ TAPS شبکه در مقابل پورت های سوئیچ آینه
1- پیکربندی آسان: شبکه شیر> آینه پورت
2- تأثیر عملکرد شبکه: ضربه بزنید <Port Mirror
3- ضبط ، تکثیر ، جمع آوری ، توانایی حمل و نقل: شیر شبکه> آینه پورت
4- تأخیر حمل و نقل ترافیک: روی شبکه <Mirror Port Tap
5- ظرفیت پیش پردازش ترافیک: شیر آب> آینه بندر
زمان پست: مارس 30-2022
