Comment capturer le trafic réseau? Appuyez sur le réseau vs miroir de port

Afin d'analyser le trafic réseau, il est nécessaire d'envoyer le paquet de réseau aux outils de sécurité et de surveillance du réseau NTOP / NPROBE ou hors bande. Il y a deux solutions à ce problème:

Miroir du port(également connu sous le nom de SPAN)

Appuyez sur le réseau(Également connu sous le nom de TAP de réplication, Tap d'agrégation, robinet actif, robinet en cuivre, Tap Ethernet, etc.)

Avant d'expliquer les différences entre les deux solutions (Port Mirror et Tap réseau), il est important de comprendre comment fonctionne Ethernet. À 100mbit et au-dessus, les hôtes parlent généralement en duplex complet, ce qui signifie qu'un hôte peut envoyer (TX) et recevoir (RX) simultanément. Cela signifie que sur un câble de 100 mbit connecté à un hôte, le montant total du trafic réseau qu'un hôte peut envoyer / recevoir (TX / RX)) est de 2 × 100 Mbit = 200 Mbit.

La mise en miroir du port est une réplication de paquets active, ce qui signifie que le périphérique réseau est physiquement responsable de la copie du paquet vers le port en miroir.

miroir du port de commutateur réseau

Cela signifie que l'appareil doit effectuer cette tâche en utilisant une ressource (comme le CPU), et les deux directions de trafic seront reproduites vers le même port. Comme mentionné précédemment, dans un lien duplex complet, cela signifie que

A -> b et b -> a

La somme de A ne dépassera pas la vitesse du réseau avant que la perte de paquets ne se produise. En effet, il n'y a physiquement aucun espace pour copier des paquets. Il s'avère que la mise en miroir du port est une excellente technique car elle peut être effectuée par de nombreux commutateurs (mais pas tous), car la plupart des commutateurs avec l'inconvénient de la perte de paquets, si vous surveillez un lien avec plus de 50% de chargement ou reflétez les ports sur un port plus rapide (par exemple, des ports de 100 MBIT de miroir sur un port de 1 gbit). Sans oublier que la mise en miroir des paquets peut nécessiter l'échange de ressources de commutateurs, ce qui peut charger l'appareil et provoquer la dégradation des performances d'échange. Notez que vous pouvez connecter 1 port à un seul port, ou 1 VLAN à un port, mais vous ne pouvez généralement pas copier de nombreux ports à 1. (Donc, comme le miroir de paquet) est manquant.

Un robinet réseau (point d'accès au terminal)est un périphérique matériel entièrement passif, qui peut capturer passivement le trafic sur un réseau. Il est couramment utilisé pour surveiller le trafic entre deux points du réseau. Si le réseau entre ces deux points se compose d'un câble physique, un robinet de réseau peut être le meilleur moyen de capturer le trafic.

Le robinet réseau contient au moins trois ports: un port A, un port B et un port de moniteur. Pour placer un robinet entre les points A et B, le câble du réseau entre le point A et le point B est remplacé par une paire de câbles, l'une allant au port de TAP, l'autre au port B du Tap. Le TAP passe tout le trafic entre les deux points de réseau, ils sont donc toujours connectés les uns aux autres. Le TAP copie également le trafic vers son port de moniteur, permettant ainsi à un dispositif d'analyse d'écouter.

Les robinets de réseau sont couramment utilisés par les dispositifs de surveillance et de collecte tels que les AP. Les TAP peuvent également être utilisés dans les applications de sécurité car ils ne sont pas obturés, ne sont pas détectables sur le réseau, peuvent gérer les réseaux complets et non partagés, et passeront généralement le trafic même si le TAP cesse de fonctionner ou perd de l'énergie.

agrégation de robinet réseau

Comme les ports des robinets de réseau ne reçoivent pas mais transmettent uniquement, le commutateur n'a aucune idée de qui est assis derrière les ports. La conséquence est qu'elle diffuse les paquets à tous les ports. Par conséquent, si vous connectez votre périphérique de surveillance à l'interrupteur, ce périphérique recevra tous les paquets. Notez que ce mécanisme fonctionne si le périphérique de surveillance n'envoie aucun paquet au commutateur; Sinon, l'interrupteur supposera que les paquets tauchés ne sont pas pour un tel appareil. Pour y parvenir, vous pouvez soit utiliser un câble réseau sur lequel vous n'avez pas connecté les fils TX, soit utiliser une interface réseau sans IP (et sans DHCP) qui ne transmet pas du tout les paquets. Enfin, notez que si vous souhaitez utiliser un robinet pour ne pas perdre de paquets, ne fusionnez pas les directions ou utilisez un commutateur où les directions à puiser sont plus lentes (par exemple 100 Mbit), le port de fusion (par exemple 1 gbit).

Réplication du robinet réseau

Alors, comment capturer le trafic réseau? Miroir des ports de commutation du réseau vs interrupteur

1- CONFIGURATION FACILE: Tapé de réseau> Miroir du port

2- Influence des performances du réseau: Tap du réseau <Miroir de port

3- Capture, réplication, agrégation, capacité de transfert: Tap de réseau> Miroir de port

4- latence de transfert de trafic: Tap du réseau <Miroir de port

5- Capacité de prétraitement du trafic: Tap du réseau Tap> Miroir du port

Taps réseau vs miroir des ports


Heure du poste: mars 30-2022