Per analizà u trafficu di a rete, hè necessariu mandà u pacchettu di rete à NTOP/NPROBE o Out-of-band Network Security and Monitoring Tools. Ci sò duie suluzioni à stu prublema:
Mirroring di u portu(cunnisciutu ancu cum'è SPAN)
Tocca di rete(cunnisciutu ancu cum'è Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, ecc.)
Prima di spiegà e differenze trà e duie suluzioni (Port Mirror è Network Tap), hè impurtante capisce cumu funziona Ethernet. À 100Mbit è più, l'ospiti parlanu di solitu in full duplex, vale à dì chì un ospite pò mandà (Tx) è riceve (Rx) simultaneamente. Questu significa chì nantu à un cavu di 100 Mbit cunnessu à un ospite, a quantità tutale di u trafficu di rete chì un ospite pò mandà/riceve (Tx/Rx) hè 2 × 100 Mbit = 200 Mbit.
U mirroring di u portu hè una replicazione attiva di pacchetti, ciò chì significa chì u dispusitivu di rete hè fisicamente rispunsevule di copià u pacchettu à u portu specchiatu.
Questu significa chì u dispusitivu deve fà stu compitu aduprendu qualchì risorsa (cum'è a CPU), è e duie direzzione di trafficu saranu replicate à u listessu portu. Cum'è mintuvatu prima, in un ligame full duplex, questu significa chì
A -> B è B -> A
A somma di A ùn supererà micca a velocità di a rete prima chì si verifichi a perdita di pacchetti. Questu hè perchè ùn ci hè fisicamente spaziu per copià pacchetti. Si scopre chì u mirroring di i porti hè una ottima tecnica postu chì pò esse realizata da parechji switch (ma micca tutti), perchè a maiò parte di i switch cù l'inconveniente di a perdita di pacchetti, se monitorate un ligame cù più di 50% di carica, o specchiate i porti nantu à un portu più veloce (per esempiu, specchiate i porti di 100 Mbit nantu à un portu di 1 Gbit). Senza cuntà chì u mirroring di i pacchetti pò richiede u scambiu di risorse di i switch, chì pò caricà u dispusitivu è causà una degradazione di e prestazioni di scambiu. Nutate bè chì pudete cunnette 1 portu à un portu, o 1 VLAN à un portu, ma generalmente ùn pudete micca copià parechji porti à 1. (Cusì cum'è u mirroring di i pacchetti) manca.
Un TAP di rete (Puntu d'accessu à u terminal)hè un dispusitivu hardware cumpletamente passivu, chì pò catturà passivamente u trafficu nantu à una rete. Hè cumunemente adupratu per monitorà u trafficu trà dui punti in a rete. Se a rete trà questi dui punti hè custituita da un cavu fisicu, un TAP di rete pò esse u megliu modu per catturà u trafficu.
U TAP di rete hà almenu trè porti: un portu A, un portu B, è un portu di monitoraghju. Per piazzà un tap trà i punti A è B, u cavu di rete trà u puntu A è u puntu B hè rimpiazzatu cù una coppia di cavi, unu chì và à u portu A di u TAP, l'altru chì và à u portu B di u TAP. U TAP passa tuttu u trafficu trà i dui punti di rete, cusì sò sempre cunnessi trà di elli. U TAP copia ancu u trafficu à u so portu di monitoraghju, permettendu cusì à un dispositivu d'analisi d'ascultà.
I TAP di rete sò cumunamente usati da i dispusitivi di monitoraghju è di cullezzione cum'è l'APS. I TAP ponu ancu esse aduprati in applicazioni di sicurezza perchè ùn sò micca intrusivi, ùn sò micca rilevabili nantu à a rete, ponu trattà cù rete full-duplex è micca spartute, è di solitu trasmetteranu u trafficu ancu s'è u tap smette di funziunà o perde a putenza.
Siccomu i porti Network Taps ùn ricevenu micca ma trasmettenu solu, u switch ùn hà idea di quale hè daretu à i porti. A cunsequenza hè chì trasmette i pacchetti à tutti i porti. Dunque, se cunnette u vostru dispositivu di monitoraghju à u switch, tale dispositivu riceverà tutti i pacchetti. Nutate bè chì stu mecanismu funziona se u dispositivu di monitoraghju ùn manda micca pacchetti à u switch; altrimenti, u switch supponerà chì i pacchetti tappati ùn sò micca per tale dispositivu. Per ottene questu, pudete aduprà un cavu di rete à u quale ùn avete micca cunnessu i fili TX, o aduprà una interfaccia di rete senza IP (è senza DHCP) chì ùn trasmette micca pacchetti. Infine, nutate bè chì se vulete aduprà un tap per ùn perde pacchetti, allora ùn fusionate micca e direzzione o aduprate un switch induve e direzzione tappate sò più lente (per esempiu 100 Mbit) chè u portu merge (per esempiu 1 Gbit).
Dunque, cumu catturà u trafficu di rete? Network Taps vs Switch Ports Mirror
1- Cunfigurazione faciule: Toccate a Rete > Mirror di u Portu
2- Influenza di e prestazioni di a rete: Network Tap < Port Mirror
3- Cattura, Replicazione, Aggregazione, Capacità di Inoltru: Tocca di Rete > Mirror di Porta
4- Latenza di Trasferimentu di u Trafficu: Tap di Rete < Mirror di u Portu
5- Capacità di preelaborazione di u trafficu: Network Tap > Port Mirror
Data di publicazione: 30 di marzu di u 2022
