על מנת לנתח את תעבורת הרשת, יש צורך לשלוח את חבילת הרשת אל NTOP/NPROBE או Out-of-band Network Security and Monitoring Tools. ישנם שני פתרונות לבעיה זו:
שיקוף יציאות(ידוע גם בשם SPAN)
רשת הקש(מוכר גם כ-Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap וכו')
לפני שמסבירים את ההבדלים בין שני הפתרונות (Port Mirror ו- Network Tap), חשוב להבין כיצד ה-Ethernet עובד. ב-100Mbit ומעלה, מארחים בדרך כלל מדברים דופלקס מלא, כלומר מארח אחד יכול לשלוח (Tx) ולקבל (Rx) בו זמנית. המשמעות היא שבכבל של 100 Mbit המחובר למארח אחד, הכמות הכוללת של תעבורת הרשת שמארח אחד יכול לשלוח/לקבל (Tx/Rx)) היא 2 × 100 Mbit = 200 Mbit.
שיקוף הפורטים הוא שכפול מנות אקטיבי, כלומר התקן הרשת אחראי פיזית להעתקת החבילה ליציאת השיקוף.
המשמעות היא שהמכשיר חייב לבצע משימה זו באמצעות משאב כלשהו (כגון ה-CPU), ושני כיווני התעבורה ישוכפלו לאותה יציאה. כפי שהוזכר קודם לכן, בקישור דופלקס מלא, זה אומר ש
A - > B ו-B -> A
הסכום של A לא יעלה על מהירות הרשת לפני אובדן מנות. הסיבה לכך היא שאין פיזית מקום להעתקת מנות. מסתבר ששיקוף יציאות היא טכניקה מצוינת מכיוון שהיא יכולה להתבצע על ידי מתגים רבים (אך לא כולם), מכיוון שרוב המתגים עם החיסרון של אובדן מנות, אם אתה מנטר קישור עם עומס של מעל 50%, או משקף את יציאות ליציאה מהירה יותר (למשל, שיקוף יציאות של 100 Mbit ליציאת 1 Gbit). שלא לדבר על כך ששיקוף מנות עשוי לדרוש החלפת משאבי מתגים, מה שעלול לטעון את המכשיר ולגרום לירידה בביצועי החלפה. שים לב שאתה יכול לחבר יציאה 1 ליציאה אחת, או VLAN 1 ליציאה אחת, אבל בדרך כלל לא ניתן להעתיק יציאות רבות ל-1. (כך שראיית המנות) חסרה.
TAP ברשת (נקודת גישה טרמינלית)הוא התקן חומרה פסיבי לחלוטין, שיכול ללכוד באופן פסיבי תעבורה ברשת. הוא משמש בדרך כלל לניטור התעבורה בין שתי נקודות ברשת. אם הרשת בין שתי הנקודות הללו מורכבת מכבל פיזי, TAP ברשת עשויה להיות הדרך הטובה ביותר ללכוד תעבורה.
לרשת TAP יש לפחות שלוש יציאות: יציאת A, יציאת B ויציאת צג. כדי למקם ברז בין נקודות A ל-B, כבל הרשת בין נקודה A לנקודה B מוחלף בזוג כבלים, אחד עובר ליציאת A של ה-TAP, והשני עובר ליציאת B של ה-TAP. ה-TAP מעביר את כל התעבורה בין שתי נקודות הרשת, כך שהן עדיין מחוברות זו לזו. ה-TAP גם מעתיק את התעבורה ליציאת המוניטור שלו, ובכך מאפשר למכשיר ניתוח להאזין.
TAPs ברשת משמשים בדרך כלל על ידי התקני ניטור ואיסוף כגון APS. ניתן להשתמש במכשירי TAP גם ביישומי אבטחה מכיוון שהם לא פולשניים, אינם ניתנים לזיהוי ברשת, יכולים להתמודד עם רשתות דופלקס מלאות ולא משותפות, ובדרך כלל יעברו תעבורה גם אם הברז מפסיק לעבוד או מאבד חשמל .
מכיוון שיציאות Network Taps אינן קולטות אלא משדרות בלבד, למתג אין מושג מי יושב מאחורי היציאות. התוצאה היא שהוא משדר את החבילות לכל היציאות. לכן, אם תחבר את מכשיר הניטור שלך למתג, מכשיר כזה יקבל את כל החבילות. שימו לב שמנגנון זה פועל אם התקן הניטור אינו שולח חבילה כלשהי למתג; אחרת, המתג יניח שהחבילות שהודבקו אינן מיועדות למכשיר כזה. כדי להשיג זאת, אתה יכול להשתמש בכבל רשת שעליו לא חיברת את חוטי ה-TX, או להשתמש בממשק רשת נטול IP (וחסר DHCP) שאינו מעביר מנות כלל. לבסוף שים לב שאם אתה רוצה להשתמש בהקשה כדי לא לאבד מנות, אז אל תמזג כיוונים או השתמש במתג שבו הכיוונים המוקשים הם איטיים יותר (למשל 100 Mbit) מהיציאת המיזוג (למשל 1 Gbit).
אז איך לתפוס תנועה ברשת? ברזי רשת לעומת מראה יציאות מתג
1- תצורה קלה: רשת הקש על > Port Mirror
2- השפעת ביצועי הרשת: רשת הקש על < Port Mirror
3- לכידה, שכפול, צבירה, יכולת העברה: רשת הקש על > Port Mirror
4- השהיית העברת תנועה: רשת הקש על < מראה יציאה
5- קיבולת עיבוד מקדים של תנועה: רשת הקש על > מראה יציאה
זמן פרסום: 30-30-2022