Ağ trafiğini analiz etmek için ağ paketini NTOP/NPROBE veya Bant Dışı Ağ Güvenliği ve İzleme Araçları'na göndermek gerekir. Bu soruna iki çözüm vardır:
Port Yansıtma(SPAN olarak da bilinir)
Ağ Musluğu(Ayrıca Replikasyon Musluğu, Toplama Musluğu, Aktif Musluk, Bakır Musluğu, Ethernet Musluğu vb. olarak da bilinir.)
İki çözüm (Port Mirror ve Network Tap) arasındaki farkları açıklamadan önce, Ethernet'in nasıl çalıştığını anlamak önemlidir. 100 Mbit ve üzeri hızlarda, sunucular genellikle tam çift yönlü iletişim kurar; bu, bir sunucunun aynı anda hem gönderip (Tx) hem de alabileceği (Rx) anlamına gelir. Bu, bir sunucuya bağlı 100 Mbit'lik bir kabloda, bir sunucunun gönderip alabileceği (Tx/Rx) toplam ağ trafiği miktarının 2 × 100 Mbit = 200 Mbit olduğu anlamına gelir.
Port yansıtma, etkin paket çoğaltma işlemidir; yani ağ aygıtı, paketi yansıtılan porta kopyalamaktan fiziksel olarak sorumludur.
Bu, cihazın bu görevi bir kaynak (örneğin CPU) kullanarak gerçekleştirmesi gerektiği ve her iki trafik yönünün de aynı bağlantı noktasına kopyalanacağı anlamına gelir. Daha önce Tam çift yönlü bağlantıda belirtildiği gibi, bu şu anlama gelir:
A -> B ve B -> A
Paket kaybı meydana gelmeden önce A toplamı ağ hızını aşmayacaktır. Bunun nedeni, paketleri kopyalamak için fiziksel olarak yer olmamasıdır. Port yansıtmanın birçok anahtar tarafından (ama hepsi değil) gerçekleştirilebildiği için harika bir teknik olduğu ortaya çıktı, çünkü anahtarların çoğu paket kaybı dezavantajına sahiptir, eğer %50'den fazla yüke sahip bir bağlantıyı izliyorsanız veya portları daha hızlı bir porta yansıtıyorsanız (örneğin, 100 Mbit portunu 1 Gbit porta yansıtın). Paket yansıtmanın, anahtar kaynaklarının değiştirilmesini gerektirebileceğini ve bunun da cihazı yükleyebileceğini ve değişim performansının düşmesine neden olabileceğini unutmayın. 1 portu bir porta veya 1 VLAN'ı bir porta bağlayabileceğinizi, ancak genellikle birden fazla portu 1'e kopyalayamayacağınızı unutmayın. (Paket yansıtması eksik olduğu için)
Bir Ağ TAP'ı (Terminal Erişim Noktası)tamamen pasif bir donanım aygıtıdır ve ağdaki trafiği pasif olarak yakalayabilir. Genellikle ağdaki iki nokta arasındaki trafiği izlemek için kullanılır. Bu iki nokta arasındaki ağ fiziksel bir kablodan oluşuyorsa, bir ağ TAP'ı trafiği yakalamanın en iyi yolu olabilir.
Ağ TAP'ının en az üç portu vardır: bir A portu, bir B portu ve bir izleme portu. A ve B noktaları arasına bir bağlantı noktası yerleştirmek için, A ve B noktaları arasındaki ağ kablosu, biri TAP'ın A portuna, diğeri TAP'ın B portuna giden bir çift kabloyla değiştirilir. TAP, iki ağ noktası arasındaki tüm trafiği iletir, böylece noktalar birbirine bağlı kalır. TAP ayrıca trafiği izleme portuna kopyalayarak bir analiz cihazının dinlemesini sağlar.
Ağ TAP'leri, APS gibi izleme ve toplama cihazları tarafından yaygın olarak kullanılır. TAP'ler, göze batmadıkları, ağda tespit edilemedikleri, tam çift yönlü ve paylaşımsız ağlarla çalışabildikleri ve genellikle bağlantı noktası çalışmayı durdursa veya güç kaybetse bile trafiği iletebildikleri için güvenlik uygulamalarında da kullanılabilirler.
Network Taps portları yalnızca alım değil iletim yaptığından, anahtar, portların arkasında kimin oturduğuna dair hiçbir fikre sahip değildir. Sonuç olarak paketleri tüm portlara yayınlar. Bu nedenle, izleme cihazınızı anahtara bağlarsanız, bu cihaz tüm paketleri alır. Bu mekanizmanın, izleme cihazı anahtara herhangi bir paket göndermezse çalıştığını unutmayın; aksi takdirde anahtar, dinlenen paketlerin bu cihaz için olmadığını varsayacaktır. Bunu başarmak için, TX kablolarını bağlamadığınız bir ağ kablosu kullanabilir veya hiç paket iletmeyen IP'siz (ve DHCP'siz) bir ağ arabirimi kullanabilirsiniz. Son olarak, paketleri kaybetmemek için bir dinleme cihazı kullanmak istiyorsanız, yönleri birleştirmeyin veya dinlenen yönlerin birleştirme portundan (örneğin 1 Gbit) daha yavaş olduğu bir anahtar (örneğin 100 Mbit) kullanın.
Peki, Ağ Trafiği Nasıl Yakalanır? Ağ Dinlemeleri ve Anahtar Bağlantı Noktaları Yansıtma
1- Kolay yapılandırma: Ağ > Port Aynalama
2- Ağ Performans Etkisi: Ağ Bağlantı Noktası < Port Aynalama
3- Yakalama, Çoğaltma, Toplama, İletme Yeteneği: Ağ > Port Aynalama
4- Trafik Yönlendirme Gecikmesi: Ağ Bağlantısı < Port Aynalaması
5- Trafik Ön İşleme Kapasitesi: Ağ Bağlantısı > Bağlantı Noktası Yansıtması
Gönderim zamanı: 30 Mart 2022
