Paketlerin Network TAP ve SPAN portları kullanılarak yakalanması arasındaki temel fark.
Port Yansıtma(SPAN olarak da bilinir)
Ağ Dokunuşu(Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap vb. olarak da bilinir.)TAP (Terminal Erişim Noktası)tamamen pasif bir donanım aygıtıdır ve bir ağdaki trafiği pasif olarak yakalayabilir. Genellikle ağdaki iki nokta arasındaki trafiği izlemek için kullanılır. Bu iki nokta arasındaki ağ fiziksel bir kablodan oluşuyorsa, bir ağ TAP trafiği yakalamanın en iyi yolu olabilir.
İki çözüm (Port Mirror ve Network Tap) arasındaki farkları açıklamadan önce, Ethernet'in nasıl çalıştığını anlamak önemlidir. 100 Mbit ve üzeri hızlarda, ana bilgisayarlar genellikle tam çift yönlü olarak konuşur, yani bir ana bilgisayar aynı anda gönderebilir (Tx) ve alabilir (Rx). Bu, bir ana bilgisayara bağlı 100 Mbit'lik bir kabloda, bir ana bilgisayarın gönderebileceği/alabileceği (Tx/Rx) toplam ağ trafiği miktarının 2 × 100 Mbit = 200 Mbit olduğu anlamına gelir.
Port yansıtma, etkin paket çoğaltma işlemidir; yani ağ aygıtı, paketi yansıtılan porta kopyalamaktan fiziksel olarak sorumludur.
Trafiği Yakalama: TAP ve SPAN
Ağ trafiğini izlerken, bir kullanıcı bir işlemi işlerken desteği doğrudan operasyonel hale getirmek istemiyorsanız, iki ana seçeneğiniz vardır. Aşağıdaki makalede, TAP (Test Erişim Noktası) ve SPAN (Anahtar Bağlantı Noktası Analizcisi) hakkında genel bir bakış sunacağız. Daha derin bir analiz için, paket inceleme uzmanı Timo'Neill'in lovemytool.com'da ayrıntılı olarak ele aldığı birkaç makalesi var, ancak burada daha genel bir yaklaşım benimseyeceğiz.
İSPANYA
Port yansıtma, bir anahtarın bir veya daha fazla portundan (veya VLAN'ından) gelen ve/veya giden her paketin bir kopyasını bir ağ trafiği analizörüne bağlı başka bir porta ileterek ağ trafiğini izleme yöntemidir. Aralıklar genellikle birden fazla siteyi aynı anda izlemek için daha basit sistemlerde kullanılır. İzleyebildiği ağ iletimlerinin tam sayısı, SPAN'ın veri merkezi ekipmanına göre nerede kurulduğuna bağlıdır. Muhtemelen aradığınızı bulacaksınız, ancak kendinizi çok fazla veriyle bulmanız kolaydır. Örneğin, tüm bir VLAN boyunca aynı verinin birden fazla kopyasını bulmak mümkündür. Bu, LAN sorun gidermeyi daha zor hale getirir ve ayrıca anahtar işlemcilerinin hızını veya yerleştirme algılama yoluyla Ethernet'i etkiler. Temel olarak, daha fazla aralık varsa, paketleri kaybetme olasılığı da o kadar yüksektir. Tap'lerle karşılaştırıldığında, aralıklar uzaktan yönetilebilir, bu da yapılandırmaları değiştirmek için daha az zaman harcanması anlamına gelir, ancak yine de ağ mühendislerine ihtiyaç duyulur.
SPAN portları, bazılarının iddia ettiği gibi pasif bir teknoloji değildir; çünkü ağ trafiği üzerinde ölçülebilir başka etkileri de olabilir, örneğin:
- Çerçeve etkileşimini değiştirme zamanı
- Aşırı aramalar nedeniyle paketlerin düşürülmesi
- Bozuk paketler haber verilmeden düşürülür ve analiz engellenir
Bu nedenle SPAN portları, paket düşürmenin analizi etkilemediği veya maliyetin dikkate alındığı durumlar için daha uygundur.
MUSLUK
Bunun aksine, muslukların donanım için önceden para harcaması gerekir, ancak çok fazla kurulum gerektirmezler. Gerçekten de, pasif oldukları için, ağı etkilemeden ağa bağlanabilir ve bağlantısı kesilebilir. Musluklar, bir bilgisayar ağı üzerinden akan verilere erişmenin bir yolunu sağlayan donanım aygıtlarıdır ve genellikle ağ güvenliği ve performans izleme amaçları için kullanılır. İzlenen trafiğe "geçişli" trafik denir ve izleme için kullanılan porta "izleme portu" denir. Ağı daha net bir şekilde araştırmak için, musluklar yönlendiriciler ve anahtarlar arasına yerleştirilebilir.
TAP paketleri etkilemediği için ağ trafiğini görüntülemenin gerçek anlamda pasif bir yolu olarak görülebilir.
Temel olarak üç tip TAP çözümü vardır:
- Ağ ayırıcı (1: 1)
- Toplu TAP (çoklu : 1)
- Rejenerasyon TAP (1 : çoklu)
TAP, trafiği tek bir pasif izleme aracına veya yüksek yoğunluklu bir ağ paketi röle cihazına kopyalar ve birden fazla (genellikle birden fazla) QOS test aracı, ağ izleme aracı ve wireshark gibi ağ koklayıcı araçlarına hizmet eder.
Ek olarak, TAP tipleri, fiber TAP ve gigabit bakır TAP dahil olmak üzere kablo türüne bağlı olarak değişir, her ikisi de sinyalin bir kısmını ağ trafiği analizörüne aktararak esasen aynı şekilde çalışırken, ana model kesintisiz olarak iletmeye devam eder. Fiber TAP için, ışını ikiye bölmektir, bakır kablo sisteminde ise elektrik sinyalini çoğaltmaktır.
TAP ve SPAN'ın karşılaştırılması
İlk olarak, SPAN portu tam çift yönlü 1G bağlantısı için uygun değildir ve maksimum kapasitesinin altında olsa bile, aşırı yüklendiği veya anahtarın SPAN portu verilerine göre düzenli porttan porta tarihlerine öncelik vermesi nedeniyle paketleri hızla düşürür. Ağ dinlemelerinin aksine, SPAN portları fiziksel katman hatalarını filtreleyerek bazı analiz türlerini daha zor hale getirir ve gördüğümüz gibi, yanlış artış süreleri ve değiştirilen çerçeveler başka sorunlara neden olabilir. Öte yandan, TAP tam çift yönlü 1G bağlantısını çalıştırabilir.
TAP ayrıca tam paket yakalama gerçekleştirebilir ve protokoller, ihlaller, izinsiz girişler vb. için derinlemesine paket incelemesi yapabilir. Bu nedenle, TAP verileri mahkemede delil olarak kullanılabilirken, SPAN port verileri kullanılamaz.
Güvenlik, iki teknik arasında farkların olduğu bir diğer husustur. SPAN portları genellikle tek yönlü iletişim için yapılandırılır, ancak bazı durumlarda iletişim de alabilir ve ciddi güvenlik açıklarına neden olabilir. Buna karşılık, TAP adreslenebilir değildir ve bir IP adresine sahip değildir, bu nedenle saldırıya uğraması mümkün değildir.
SPAN portları genellikle VLAN etiketlerini iletmez, bu da VLAN arızalarını tespit etmeyi zorlaştırabilir, ancak tap'lar tüm VLAN ağını aynı anda göremez. Toplu tap'lar kullanılmazsa, TAP her iki kanal için aynı izi sağlamaz, ancak aşım tespitinde dikkatli olunmalıdır. Booster for Profitap gibi, sekiz adet 10/100/1G portunu bir 1G-10G çıkışında toplayan toplu tap'lar vardır.
Booster, VLAN etiketleri ekleyerek paketlere girebilir. Bu şekilde, her paketin kaynak port bilgisi analizöre iletilecektir.
SPAN portları hala ağ yöneticilerinin kullanacağı bir araçtır, ancak hız ve tüm ağ verilerine güvenilir erişim kritik önem taşıyorsa, TAP daha iyi bir seçimdir. Hangi yaklaşımın benimseneceğine karar verirken, SPAN portları düşük kullanım oranına sahip ağlar için daha uygundur, çünkü kaybolan paketler analizi etkilemez veya maliyetin bir endişe kaynağı olduğu durumlarda isteğe bağlıdır. Ancak, yüksek trafiğe sahip ağlarda, TAP'nin kapasitesi, güvenliği ve güvenilirliği, paket kaybı veya fiziksel katman hatalarını filtreleme korkusu olmadan ağınızdaki trafiğe tam görünürlük sağlayacaktır.
○ Tamamen görünür
○ Tüm trafiği (tüm boyut ve türdeki tüm paketleri) kopyala
○ Pasif, müdahaleci olmayan (verileri değiştirmez)
○ Seri olarak, kablo demetlerindeki tam çift yönlü trafiği çoğaltmak için anahtar bağlantı noktaları kullanılmaz Kolay kurulum (tak ve çalıştır)
○ Bilgisayar korsanlarına karşı savunmasız değil (ağdan görünmez, izole edilmiş izleme cihazı, IP/MAC adresi yok)
○ Ölçeklenebilir
○ Her duruma uygundur
○ Kısmi görünürlük
○ Tüm trafiği kopyalamamak (belirli boyut ve türdeki paketleri düşürmek)
○ Pasif değil (paket zamanlamasını değiştirme, gecikmeyi artırma)
○ Anahtar bağlantı noktasını kullanın (her SPAN bağlantı noktası bir anahtar bağlantı noktası kullanır)
○ Tam çift yönlü iletişimi yönetememe (aşırı yüklendiğinde paketler düşer, ayrıca birincil anahtar çalışmasını da etkileyebilir)
○ Mühendislerin yapılandırması gerekiyor
○ Güvenli değil (İzleme sistemi ağın bir parçasıdır, potansiyel güvenlik sorunları olabilir)
○ Ölçeklenebilir değil
○ Yalnızca belirli koşullar altında uygulanabilir
İlgili makale ilginizi çekebilir: Ağ Trafiği Nasıl Yakalanır? Network Tap ve Port Mirror
Gönderi zamanı: 09-Haz-2025
