Ağ Trafiği Nasıl Yakalanır? Network Tap ve Port Mirror

Ağ trafiğini analiz etmek için ağ paketini NTOP/NPROBE veya Out-of-band Network Security and Monitoring Tools'a göndermek gerekir. Bu soruna iki çözüm vardır:

Port Yansıtma(SPAN olarak da bilinir)

Ağ Dokunuşu(Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap vb. olarak da bilinir.)

İki çözüm (Port Mirror ve Network Tap) arasındaki farkları açıklamadan önce, Ethernet'in nasıl çalıştığını anlamak önemlidir. 100 Mbit ve üzeri hızlarda, ana bilgisayarlar genellikle tam çift yönlü olarak konuşur, yani bir ana bilgisayar aynı anda gönderebilir (Tx) ve alabilir (Rx). Bu, bir ana bilgisayara bağlı 100 Mbit'lik bir kabloda, bir ana bilgisayarın gönderebileceği/alabileceği (Tx/Rx) toplam ağ trafiği miktarının 2 × 100 Mbit = 200 Mbit olduğu anlamına gelir.

Port yansıtma, etkin paket çoğaltma işlemidir; yani ağ aygıtı, paketi yansıtılan porta kopyalamaktan fiziksel olarak sorumludur.

ağ anahtarı bağlantı noktası aynası

Bu, aygıtın bu görevi bir kaynak (örneğin CPU) kullanarak gerçekleştirmesi gerektiği ve her iki trafik yönünün de aynı bağlantı noktasına kopyalanacağı anlamına gelir. Daha önce belirtildiği gibi, Tam çift yönlü bağlantıda, bu,

A -> B ve B -> A

Paket kaybı meydana gelmeden önce A'nın toplamı ağ hızını aşmayacaktır. Bunun nedeni paketleri kopyalamak için fiziksel olarak yer olmamasıdır. Port yansıtmanın birçok anahtar tarafından gerçekleştirilebildiği için harika bir teknik olduğu ortaya çıktı (ama hepsi değil), çünkü anahtarların çoğu paket kaybı dezavantajına sahip, %50'den fazla yüke sahip bir bağlantıyı izliyorsanız veya portları daha hızlı bir porta yansıtıyorsanız (örneğin 100 Mbit portunu 1 Gbit porta yansıtın). Paket yansıtmanın anahtar kaynaklarının değiştirilmesini gerektirebileceğinden ve bunun da cihazı yükleyebileceğinden ve değişim performansının düşmesine neden olabileceğinden bahsetmiyorum bile. 1 portu bir porta veya 1 VLAN'ı bir porta bağlayabileceğinizi, ancak genellikle birçok portu 1'e kopyalayamayacağınızı unutmayın. (Paket yansıtması eksik olduğu için)

Bir Ağ TAP (Terminal Erişim Noktası)tamamen pasif bir donanım aygıtıdır ve bir ağdaki trafiği pasif olarak yakalayabilir. Genellikle ağdaki iki nokta arasındaki trafiği izlemek için kullanılır. Bu iki nokta arasındaki ağ fiziksel bir kablodan oluşuyorsa, bir ağ TAP trafiği yakalamanın en iyi yolu olabilir.

TAP ağının en az üç portu vardır: bir A portu, bir B portu ve bir monitör portu. A ve B noktaları arasına bir musluk yerleştirmek için, A noktası ile B noktası arasındaki ağ kablosu, biri TAP'ın A portuna, diğeri TAP'ın B portuna giden bir çift kablo ile değiştirilir. TAP, iki ağ noktası arasındaki tüm trafiği geçirir, böylece hala birbirlerine bağlıdırlar. TAP ayrıca trafiği monitör portuna kopyalar, böylece bir analiz cihazının dinlemesini sağlar.

Ağ TAP'leri genellikle APS gibi izleme ve toplama cihazları tarafından kullanılır. TAP'ler ayrıca güvenlik uygulamalarında da kullanılabilir çünkü göze batmazlar, ağda tespit edilemezler, tam çift yönlü ve paylaşımsız ağlarla başa çıkabilirler ve tap çalışmayı durdursa veya güç kaybetse bile genellikle trafiği geçirirler.

ağ dinleme toplama

Network Taps portları yalnızca alım değil iletim yaptığından, anahtar portların arkasında kimin oturduğuna dair hiçbir fikre sahip değildir. Sonuç olarak paketleri tüm portlara yayınlar. Bu nedenle, izleme cihazınızı anahtara bağlarsanız, bu cihaz tüm paketleri alır. Bu mekanizmanın izleme cihazı anahtara herhangi bir paket göndermezse çalıştığını unutmayın; aksi takdirde anahtar, dinlenen paketlerin bu cihaz için olmadığını varsayacaktır. Bunu başarmak için, TX kablolarını bağlamadığınız bir ağ kablosu kullanabilir veya hiç paket iletmeyen IP'siz (ve DHCP'siz) bir ağ arabirimi kullanabilirsiniz. Son olarak, paketleri kaybetmemek için bir dinleme kullanmak istiyorsanız, yönleri birleştirmeyin veya dinlenen yönlerin birleştirme portundan (örneğin 1 Gbit) daha yavaş olduğu (örneğin 100 Mbit) bir anahtar kullanın.

ağ dinleme çoğaltması

Peki, Ağ Trafiği Nasıl Yakalanır? Ağ Tap'leri ve Switch Portları Mirror

1- Kolay yapılandırma: Ağ > Port Aynalama

2- Ağ Performans Etkisi: Ağ Tap < Port Mirror

3- Yakalama, Çoğaltma, Toplama, İletme Yeteneği: Network Tap > Port Mirror

4- Trafik Yönlendirme Gecikmesi: Ağ Bağlantısı < Port Aynalama

5- Trafik Ön İşleme Kapasitesi: Network Tap > Port Mirror

ağ dinlemeleri ve port yansıtmaları


Gönderi zamanı: Mar-30-2022