Network TAP ve SPAN portlarını kullanarak paket yakalama arasındaki temel fark.
Bağlantı Noktası Yansıtma(SPAN olarak da bilinir)
Ağ Bağlantısı(Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, vb. olarak da bilinir.)TAP (Terminal Erişim Noktası)Ağ trafiğini pasif olarak yakalayabilen, tamamen pasif bir donanım cihazıdır. Genellikle ağdaki iki nokta arasındaki trafiği izlemek için kullanılır. Bu iki nokta arasındaki ağ fiziksel bir kablodan oluşuyorsa, ağ trafiğini yakalamanın en iyi yolu bir ağ TAP cihazı olabilir.
İki çözüm (Port Mirror ve Network Tap) arasındaki farkları açıklamadan önce, Ethernet'in nasıl çalıştığını anlamak önemlidir. 100 Mbit ve üzeri hızlarda, sunucular genellikle tam çift yönlü iletişim kurar; yani bir sunucu aynı anda hem gönderebilir (Tx) hem de alabilir (Rx). Bu, bir sunucuya bağlı 100 Mbit'lik bir kabloda, bir sunucunun gönderebileceği/alabileceği (Tx/Rx) toplam ağ trafiği miktarının 2 × 100 Mbit = 200 Mbit olduğu anlamına gelir.
Port yansıtma, aktif paket çoğaltma işlemidir; bu da ağ aygıtının paketi yansıtılan porta kopyalamaktan fiziksel olarak sorumlu olduğu anlamına gelir.
Trafik Yakalama: TAP ve SPAN Karşılaştırması
Ağ trafiğini izlerken, bir kullanıcı işlem yaparken doğrudan destek sağlamak istemiyorsanız, iki ana seçeneğiniz vardır. Aşağıdaki makalede, TAP (Test Erişim Noktası) ve SPAN (Anahtar Bağlantı Noktası Analizcisi) hakkında genel bir bakış sunacağız. Daha detaylı bir analiz için, paket inceleme uzmanı Timo'Neill'in lovemytool.com adresinde çok detaylı bilgiler içeren birçok makalesi bulunmaktadır, ancak burada daha genel bir yaklaşım benimseyeceğiz.
İSPANYA
Port yansıtma, bir switch'in bir veya daha fazla portundan (veya VLAN'ından) gelen ve/veya giden her paketin bir kopyasını, ağ trafiği analiz cihazına bağlı başka bir porta ileterek ağ trafiğini izleme yöntemidir. Span'ler genellikle daha basit sistemlerde birden fazla siteyi aynı anda izlemek için kullanılır. İzleyebileceği ağ iletimlerinin tam sayısı, SPAN'in veri merkezi ekipmanına göre nerede kurulduğuna bağlıdır. Muhtemelen aradığınızı bulacaksınız, ancak çok fazla veriyle karşılaşmanız da kolaydır. Örneğin, tüm bir VLAN'da aynı verinin birden fazla kopyasını bulmak mümkündür. Bu, LAN sorun gidermeyi daha zor hale getirir ve ayrıca switch işlemcilerinin hızını veya Ethernet'i yerleşim tespiti yoluyla etkiler. Temel olarak, ne kadar çok SPAN varsa, paket kaybetme olasılığı o kadar yüksektir. Tap'lara kıyasla, SPAN'ler uzaktan yönetilebilir, bu da yapılandırmaları değiştirmek için daha az zaman harcanması anlamına gelir, ancak yine de ağ mühendislerine ihtiyaç duyulur.
SPAN portları, bazılarının iddia ettiği gibi pasif bir teknoloji değildir; ağ trafiği üzerinde ölçülebilir başka etkileri de olabilir, bunlar arasında şunlar yer alır:
- Çerçeve etkileşimini değiştirme zamanı
- Aşırı sorgulama nedeniyle paketlerin kaybolması
- Bozuk paketler haber verilmeden atılıyor, bu da analizi engelliyor.
Bu nedenle, SPAN portları, paket kaybının analizi etkilemediği veya maliyetin dikkate alındığı durumlar için daha uygundur.
MUSLUK
Buna karşılık, veri izleme cihazları (tap'ler) önceden donanıma para harcamayı gerektirir, ancak çok fazla kurulum gerektirmezler. Nitekim, pasif oldukları için ağa bağlanıp bağlantısı kesilebilir ve bu durum ağı etkilemez. Veri izleme cihazları, bir bilgisayar ağından geçen verilere erişim sağlayan donanım aygıtlarıdır ve genellikle ağ güvenliği ve performans izleme amacıyla kullanılırlar. İzlenen trafiğe "geçiş" trafiği, izleme için kullanılan porta ise "izleme portu" denir. Ağı daha net bir şekilde incelemek için, veri izleme cihazları yönlendiriciler ve anahtarlar arasına yerleştirilebilir.
TAP paketleri etkilemediği için, ağ trafiğini incelemenin gerçekten pasif bir yolu olarak görülebilir.
Temelde üç tür TAP çözümü vardır:
- Şebeke ayırıcı (1:1)
- Toplam TAP (çoklu : 1)
- Yenileme TAP (1 : çoklu)
TAP, trafiği tek bir pasif izleme aracına veya yüksek yoğunluklu bir ağ paket aktarım cihazına kopyalar ve Wireshark gibi birden fazla (çoğu zaman birden fazla) QoS test aracına, ağ izleme aracına ve ağ trafiği analiz aracına hizmet eder.
Ayrıca, TAP türleri, fiber TAP ve gigabit bakır TAP dahil olmak üzere kablo türüne bağlı olarak değişir; her ikisi de temelde aynı şekilde çalışır: sinyalin bir kısmını ağ trafiği analiz cihazına aktarırken, ana model kesintisiz olarak iletmeye devam eder. Fiber TAP'te ışın ikiye bölünürken, bakır kablo sisteminde elektrik sinyali çoğaltılır.
TAP ve SPAN'ı karşılaştırma
Öncelikle, SPAN portu tam çift yönlü 1G bağlantı için uygun değildir ve maksimum kapasitesinin altında bile aşırı yüklendiği için veya anahtarın SPAN portu verilerine göre normal porttan porta verileri önceliklendirmesi nedeniyle paketleri hızla düşürür. Ağ izleme cihazlarının aksine, SPAN portları fiziksel katman hatalarını filtreler, bu da bazı analiz türlerini daha zor hale getirir ve gördüğümüz gibi, yanlış artış süreleri ve değişen çerçeveler başka sorunlara neden olabilir. Öte yandan, TAP tam çift yönlü 1G bağlantı çalıştırabilir.
TAP, ayrıca eksiksiz paket yakalama ve protokoller, ihlaller, izinsiz girişler vb. için derinlemesine paket incelemesi yapabilir. Bu nedenle, TAP verileri mahkemede kanıt olarak kullanılabilirken, SPAN port verileri kullanılamaz.
Güvenlik, iki teknik arasındaki farklılıkların bir diğer yönüdür. SPAN portları genellikle tek yönlü iletişim için yapılandırılır, ancak bazı durumlarda iletişim alabilirler ve bu da ciddi güvenlik açıklarına yol açabilir. Buna karşılık, TAP adreslenebilir değildir ve IP adresine sahip değildir, bu nedenle hacklenemez.
SPAN portları genellikle VLAN etiketlerini iletmez, bu da VLAN arızalarını tespit etmeyi zorlaştırabilir, ancak TAP cihazları tüm VLAN ağını aynı anda göremez. Toplu TAP cihazları kullanılmazsa, TAP cihazı her iki kanal için de aynı izlemeyi sağlamaz, ancak aşırı kullanım tespitinde dikkatli olunmalıdır. 1G-10G çıkışında sekiz adet 10/100/1G portunu birleştiren Booster for Profitap gibi toplu TAP cihazları mevcuttur.
Booster, VLAN etiketleri ekleyerek paketlere giriş yapabilir. Bu sayede, her paketin kaynak port bilgisi analiz cihazına iletilir.
SPAN portları hala ağ yöneticilerinin kullanacağı bir araçtır, ancak hız ve tüm ağ verilerine güvenilir erişim kritik önem taşıyorsa, TAP daha iyi bir seçimdir. Hangi yaklaşımı benimseyeceğinize karar verirken, SPAN portları düşük kullanım oranına sahip ağlar için daha uygundur, çünkü kayıp paketler analizi etkilemez veya maliyetin önemli olduğu durumlarda isteğe bağlıdır. Bununla birlikte, yüksek trafiğe sahip ağlarda, TAP'ın kapasitesi, güvenliği ve güvenilirliği, paket kaybı veya fiziksel katman hatalarını filtreleme korkusu olmadan ağınızdaki trafiğe tam görünürlük sağlayacaktır.
○ Tamamen görünür
○ Tüm trafiği (tüm boyut ve türdeki tüm paketleri) çoğaltın.
○ Pasif, müdahale gerektirmeyen (verileri değiştirmez)
○ Seri bağlantıda, çift yönlü trafiği çoğaltmak için anahtarlama portları kullanılmaz. Kolay kurulum (tak ve çalıştır).
○ Bilgisayar korsanlarına karşı savunmasız değil (ağdan görünmez, izole edilmiş izleme cihazı, IP/MAC adresi yok)
○ Ölçeklenebilir
○ Her duruma uygun
○ Kısmi görünürlük
○ Tüm trafiği kopyalamamak (belirli boyutlardaki ve türdeki paketleri atmak)
○ Pasif olmayan (paket zamanlamasını değiştirme, gecikmeyi artırma)
○ Anahtarlama portu kullanın (her SPAN portu bir anahtarlama portu kullanır)
○ Çift yönlü iletişimi destekleyemiyor (aşırı yüklenme durumunda paketler kayboluyor, ayrıca birincil anahtarın çalışmasını da etkileyebilir)
○ Mühendislerin yapılandırma yapması gerekiyor
○ Güvenli Değil (İzleme sistemi ağın bir parçasıdır, potansiyel güvenlik sorunları olabilir)
○ Ölçeklenebilir değil
○ Yalnızca belirli koşullar altında mümkün
İlgili makale ilginizi çekebilir: Ağ Trafiği Nasıl Yakalanır? Ağ Takibi mi, Bağlantı Noktası Yansıtması mı?
Yayın tarihi: 09-06-2025
