Paketlerin Network TAP ve SPAN portları kullanılarak yakalanması arasındaki temel fark.
Port Yansıtma(SPAN olarak da bilinir)
Ağ Musluğu(Ayrıca Replikasyon Musluğu, Toplama Musluğu, Aktif Musluk, Bakır Musluğu, Ethernet Musluğu vb. olarak da bilinir.)TAP (Terminal Erişim Noktası)tamamen pasif bir donanım aygıtıdır ve ağdaki trafiği pasif olarak yakalayabilir. Genellikle ağdaki iki nokta arasındaki trafiği izlemek için kullanılır. Bu iki nokta arasındaki ağ fiziksel bir kablodan oluşuyorsa, bir ağ TAP'ı trafiği yakalamanın en iyi yolu olabilir.
İki çözüm (Port Mirror ve Network Tap) arasındaki farkları açıklamadan önce, Ethernet'in nasıl çalıştığını anlamak önemlidir. 100 Mbit ve üzeri hızlarda, sunucular genellikle tam çift yönlü iletişim kurar; bu, bir sunucunun aynı anda hem gönderip (Tx) hem de alabileceği (Rx) anlamına gelir. Bu, bir sunucuya bağlı 100 Mbit'lik bir kabloda, bir sunucunun gönderip alabileceği (Tx/Rx) toplam ağ trafiği miktarının 2 × 100 Mbit = 200 Mbit olduğu anlamına gelir.
Port yansıtma, etkin paket çoğaltma işlemidir; yani ağ aygıtı, paketi yansıtılan porta kopyalamaktan fiziksel olarak sorumludur.
Trafiği Yakalama: TAP ve SPAN Karşılaştırması
Ağ trafiğini izlerken, bir kullanıcı bir işlemi gerçekleştirirken desteği doğrudan operasyonel hale getirmek istemiyorsanız, iki temel seçeneğiniz var. Aşağıdaki makalede, TAP (Test Erişim Noktası) ve SPAN (Anahtar Bağlantı Noktası Analizörü) hakkında genel bir bakış sunacağız. Daha derinlemesine bir analiz için, paket inceleme uzmanı Timo'Neill'in lovemytool.com adresinde ayrıntılı olarak ele aldığı birkaç makalesi bulunmaktadır, ancak burada daha genel bir yaklaşım benimseyeceğiz.
İSPANYA
Port yansıtma, bir anahtarın bir veya daha fazla portundan (veya VLAN'ından) gelen ve/veya giden her paketin bir kopyasını ağ trafiği analizörüne bağlı başka bir porta yönlendirerek ağ trafiğini izleme yöntemidir. SPAN'lar genellikle daha basit sistemlerde birden fazla siteyi aynı anda izlemek için kullanılır. İzleyebileceği ağ iletimlerinin tam sayısı, SPAN'ın veri merkezi ekipmanına göre nerede kurulduğuna bağlıdır. Muhtemelen aradığınızı bulacaksınız, ancak kendinizi çok fazla veriyle karşı karşıya bulmanız kolaydır. Örneğin, tüm bir VLAN boyunca aynı verinin birden fazla kopyasını bulmak mümkündür. Bu, LAN sorun gidermeyi zorlaştırır ve ayrıca anahtar işlemcilerinin hızını veya yerleşim algılama yoluyla Ethernet'i etkiler. Temel olarak, ne kadar çok span varsa, paketlerin kaybolma olasılığı o kadar yüksektir. Tap'lerle karşılaştırıldığında, span'lar uzaktan yönetilebilir, bu da yapılandırmaları değiştirmek için daha az zaman harcanması anlamına gelir, ancak yine de ağ mühendislerine ihtiyaç duyulur.
SPAN portları, bazılarının iddia ettiği gibi pasif bir teknoloji değildir; çünkü ağ trafiği üzerinde ölçülebilir başka etkileri de olabilir, örneğin:
- Çerçeve etkileşimini değiştirme zamanı
- Aşırı aramalar nedeniyle paketlerin düşürülmesi
- Bozuk paketler haber verilmeden düşürülür ve analiz engellenir
Bu nedenle SPAN portları, paketlerin düşürülmesinin analizi etkilemediği veya maliyetin dikkate alındığı durumlar için daha uygundur.
MUSLUK
Buna karşılık, musluklar donanım için önceden para harcamayı gerektirir, ancak çok fazla kurulum gerektirmezler. Pasif oldukları için, ağı etkilemeden ağdan bağlanıp çıkarılabilirler. Musluklar, bir bilgisayar ağı üzerinden akan verilere erişim sağlayan donanım aygıtlarıdır ve genellikle ağ güvenliği ve performans izleme amacıyla kullanılırlar. İzlenen trafiğe "geçişli" trafik, izleme için kullanılan porta ise "izleme portu" denir. Ağı daha net bir şekilde incelemek için, yönlendiriciler ve anahtarlar arasına musluklar yerleştirilebilir.
TAP paketleri etkilemediği için ağ trafiğini görüntülemenin gerçekten pasif bir yolu olarak görülebilir.
Temel olarak üç tip TAP çözümü vardır:
- Ağ bölücü (1: 1)
- Agrega TAP (çoklu : 1)
- Rejenerasyon TAP (1 : çoklu)
TAP, trafiği tek bir pasif izleme aracına veya yüksek yoğunluklu bir ağ paketi röle cihazına kopyalar ve birden fazla (genellikle birden fazla) QOS test aracı, ağ izleme aracı ve wireshark gibi ağ dinleme aracına hizmet eder.
Ayrıca, TAP tipleri, fiber TAP ve gigabit bakır TAP dahil olmak üzere kablo türüne göre değişiklik gösterir ve her ikisi de sinyalin bir kısmını ağ trafik analizörüne aktararak temelde aynı şekilde çalışırken, ana model kesintisiz iletimi sürdürür. Fiber TAP'ta amaç, ışını ikiye bölmek iken, bakır kablo sisteminde elektrik sinyalini çoğaltmaktır.
TAP ve SPAN'ın karşılaştırılması
Öncelikle, SPAN portu tam çift yönlü 1G bağlantısı için uygun değildir ve maksimum kapasitesinin altında olsa bile, aşırı yüklendiği veya anahtarın SPAN portu verilerine göre düzenli porttan porta veri gönderimlerine öncelik vermesi nedeniyle paketleri hızla düşürür. Ağ dinlemelerinin aksine, SPAN portları fiziksel katman hatalarını filtreleyerek bazı analiz türlerini zorlaştırır ve gördüğümüz gibi, hatalı artış süreleri ve değiştirilen çerçeveler başka sorunlara da yol açabilir. Öte yandan, TAP tam çift yönlü 1G bağlantısını çalıştırabilir.
TAP ayrıca tam paket yakalama gerçekleştirebilir ve protokoller, ihlaller, izinsiz girişler vb. için derinlemesine paket incelemesi yapabilir. Dolayısıyla, TAP verileri mahkemede delil olarak kullanılabilirken, SPAN port verileri kullanılamaz.
Güvenlik, iki teknik arasında farkların bulunduğu bir diğer husustur. SPAN portları genellikle tek yönlü iletişim için yapılandırılmıştır, ancak bazı durumlarda iletişim de alabilir ve bu da ciddi güvenlik açıklarına yol açabilir. Buna karşılık, TAP adreslenebilir değildir ve bir IP adresine sahip değildir, bu nedenle saldırıya uğraması imkansızdır.
SPAN portları genellikle VLAN etiketlerini iletmez, bu da VLAN arızalarının tespitini zorlaştırabilir, ancak dinlemeler tüm VLAN ağını aynı anda göremez. Toplu dinlemeler kullanılmazsa, TAP her iki kanal için aynı izi sağlamaz, ancak aşım tespitinde dikkatli olunmalıdır. Booster for Profitap gibi, sekiz adet 10/100/1G portunu 1G-10G çıkışında toplayan toplu dinlemeler mevcuttur.
Booster, VLAN etiketleri ekleyerek paketlere erişebilir. Bu sayede, her paketin kaynak port bilgisi analizöre iletilir.
SPAN portları, ağ yöneticilerinin hâlâ kullanacağı bir araçtır, ancak hız ve tüm ağ verilerine güvenilir erişim kritik önem taşıyorsa, TAP daha iyi bir seçimdir. Hangi yaklaşımın benimseneceğine karar verirken, SPAN portları düşük kullanım oranına sahip ağlar için daha uygundur, çünkü kayıp paketler analizi etkilemez veya maliyetin önemli olduğu durumlarda isteğe bağlıdır. Ancak, yüksek trafiğe sahip ağlarda, TAP'nin kapasitesi, güvenliği ve güvenilirliği, paket kaybı veya fiziksel katman hatalarının filtrelenmesi korkusu olmadan ağınızdaki trafiğe tam görünürlük sağlayacaktır.
○ Tamamen görünür
○ Tüm trafiği (tüm boyut ve türdeki tüm paketleri) çoğaltın
○ Pasif, müdahaleci olmayan (verileri değiştirmez)
○ Seri olarak, kablo demetlerinde tam çift yönlü trafiği çoğaltmak için anahtar bağlantı noktaları kullanılmaz Kolay kurulum (tak ve çalıştır)
○ Bilgisayar korsanlarına karşı savunmasız değil (ağdan görünmez, izole izleme cihazı, IP/MAC adresi yok)
○ Ölçeklenebilir
○ Her duruma uygundur
○ Kısmi görünürlük
○ Tüm trafiği kopyalamamak (belirli boyut ve türdeki paketleri düşürmek)
○ Pasif olmayan (paket zamanlamasını değiştirme, gecikmeyi artırma)
○ Anahtar bağlantı noktasını kullanın (her SPAN bağlantı noktası bir anahtar bağlantı noktası kullanır)
○ Tam çift yönlü iletişimi yönetemez (aşırı yüklendiğinde paketler düşer, ayrıca birincil anahtar çalışmasını da etkileyebilir)
○ Mühendislerin yapılandırması gerekiyor
○ Güvenli değil (İzleme sistemi ağın bir parçasıdır, potansiyel güvenlik sorunları vardır)
○ Ölçeklenebilir değil
○ Yalnızca belirli koşullar altında uygulanabilir
İlgili makale ilginizi çekebilir: Ağ Trafiği Nasıl Yakalanır? Ağ Dinleme ve Port Yansıtma
Gönderi zamanı: 09 Haz 2025
