เพื่อวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่าย จำเป็นต้องส่งแพ็กเก็ตเครือข่ายไปยัง NTOP/NPROBE หรือเครื่องมือรักษาความปลอดภัยและตรวจสอบเครือข่ายนอกแบนด์ (Out-of-band Network Security and Monitoring Tools) ซึ่งมีสองวิธีในการแก้ปัญหานี้:
การจำลองพอร์ต(หรือเรียกอีกอย่างว่า SPAN)
เน็ตเวิร์ก แทป(หรือเรียกอีกอย่างว่า Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap เป็นต้น)
ก่อนที่จะอธิบายความแตกต่างระหว่างสองวิธี (Port Mirror และ Network Tap) สิ่งสำคัญคือต้องเข้าใจวิธีการทำงานของ Ethernet ก่อน ที่ความเร็ว 100 Mbit ขึ้นไป โฮสต์มักจะสื่อสารกันแบบ Full Duplex ซึ่งหมายความว่าโฮสต์หนึ่งสามารถส่ง (Tx) และรับ (Rx) ได้พร้อมกัน นั่นหมายความว่าบนสายเคเบิล 100 Mbit ที่เชื่อมต่อกับโฮสต์หนึ่งตัว ปริมาณการรับส่งข้อมูลเครือข่ายทั้งหมดที่โฮสต์หนึ่งสามารถส่ง/รับ (Tx/Rx) ได้คือ 2 × 100 Mbit = 200 Mbit
การทำ Port mirroring คือการจำลองแพ็กเก็ตแบบแอคทีฟ ซึ่งหมายความว่าอุปกรณ์เครือข่ายมีหน้าที่รับผิดชอบในการคัดลอกแพ็กเก็ตไปยังพอร์ตที่ทำมิเรอร์ไว้
นี่หมายความว่าอุปกรณ์จะต้องทำงานนี้โดยใช้ทรัพยากรบางอย่าง (เช่น CPU) และทิศทางการรับส่งข้อมูลทั้งสองทิศทางจะถูกส่งไปยังพอร์ตเดียวกัน ดังที่กล่าวไว้ก่อนหน้านี้ ในลิงก์แบบฟูลดูเพล็กซ์ หมายความว่า
A -> B และ B -> A
ผลรวมของ A จะไม่เกินความเร็วเครือข่ายก่อนที่จะเกิดการสูญเสียแพ็กเก็ต เนื่องจากไม่มีพื้นที่ทางกายภาพสำหรับการคัดลอกแพ็กเก็ต ปรากฏว่าการทำพอร์ตมิเรอร์เป็นเทคนิคที่ดี เพราะสามารถทำได้โดยสวิตช์หลายตัว (แต่ไม่ใช่ทั้งหมด) เนื่องจากสวิตช์ส่วนใหญ่มีข้อเสียคือการสูญเสียแพ็กเก็ต หากคุณตรวจสอบลิงก์ที่มีโหลดเกิน 50% หรือทำมิเรอร์พอร์ตไปยังพอร์ตที่เร็วกว่า (เช่น มิเรอร์พอร์ต 100 Mbit ไปยังพอร์ต 1 Gbit) นอกจากนี้ การทำแพ็กเก็ตมิเรอร์อาจต้องมีการแลกเปลี่ยนทรัพยากรของสวิตช์ ซึ่งอาจทำให้โหลดอุปกรณ์และทำให้ประสิทธิภาพการแลกเปลี่ยนลดลง โปรดทราบว่าคุณสามารถเชื่อมต่อ 1 พอร์ตกับ 1 พอร์ต หรือ 1 VLAN กับ 1 พอร์ตได้ แต่โดยทั่วไปแล้วคุณไม่สามารถคัดลอกหลายพอร์ตไปยัง 1 พอร์ตได้ (ดังนั้นการทำแพ็กเก็ตมิเรอร์จึงขาดหายไป)
อุปกรณ์ TAP (Terminal Access Point) ของเครือข่ายอุปกรณ์ TAP (Network Tap) เป็นอุปกรณ์ฮาร์ดแวร์แบบพาสซีฟโดยสมบูรณ์ ซึ่งสามารถดักจับข้อมูลบนเครือข่ายได้โดยไม่ต้องมีการโต้ตอบใดๆ โดยทั่วไปจะใช้ในการตรวจสอบข้อมูลระหว่างสองจุดในเครือข่าย หากเครือข่ายระหว่างสองจุดนี้ประกอบด้วยสายเคเบิลทางกายภาพ อุปกรณ์ TAP อาจเป็นวิธีที่ดีที่สุดในการดักจับข้อมูล
อุปกรณ์ TAP ในเครือข่ายมีพอร์ตอย่างน้อยสามพอร์ต ได้แก่ พอร์ต A พอร์ต B และพอร์ตมอนิเตอร์ ในการติดตั้ง TAP ระหว่างจุด A และ B สายเคเบิลเครือข่ายระหว่างจุด A และจุด B จะถูกแทนที่ด้วยสายเคเบิลคู่หนึ่ง โดยสายหนึ่งต่อเข้ากับพอร์ต A ของ TAP และอีกสายหนึ่งต่อเข้ากับพอร์ต B ของ TAP TAP จะส่งผ่านข้อมูลทั้งหมดระหว่างจุดเครือข่ายทั้งสอง ทำให้จุดทั้งสองยังคงเชื่อมต่อกันอยู่ นอกจากนี้ TAP ยังคัดลอกข้อมูลไปยังพอร์ตมอนิเตอร์ ทำให้เครื่องมือวิเคราะห์สามารถรับฟังข้อมูลได้
อุปกรณ์ TAP (Network TAP) มักใช้ในอุปกรณ์ตรวจสอบและรวบรวมข้อมูล เช่น APS (Automatic Point Security) นอกจากนี้ TAP ยังสามารถใช้ในแอปพลิเคชันด้านความปลอดภัยได้ เนื่องจากไม่รบกวนการทำงาน ไม่สามารถตรวจจับได้บนเครือข่าย สามารถรองรับเครือข่ายแบบฟูลดูเพล็กซ์และเครือข่ายที่ไม่ใช้ร่วมกัน และโดยทั่วไปจะส่งผ่านข้อมูลได้แม้ว่า TAP จะหยุดทำงานหรือไฟดับก็ตาม
เนื่องจากพอร์ต Network Tap ทำหน้าที่ส่งข้อมูลเท่านั้น ไม่รับข้อมูล สวิตช์จึงไม่ทราบว่าใครกำลังใช้งานพอร์ตเหล่านั้นอยู่ ผลที่ตามมาคือ สวิตช์จะส่งแพ็กเก็ตไปยังทุกพอร์ต ดังนั้น หากคุณเชื่อมต่ออุปกรณ์ตรวจสอบเข้ากับสวิตช์ อุปกรณ์นั้นจะได้รับแพ็กเก็ตทั้งหมด โปรดทราบว่ากลไกนี้จะทำงานได้ก็ต่อเมื่ออุปกรณ์ตรวจสอบไม่ได้ส่งแพ็กเก็ตใดๆ ไปยังสวิตช์ มิฉะนั้น สวิตช์จะถือว่าแพ็กเก็ตที่ถูกดักจับนั้นไม่ได้มาจากอุปกรณ์ดังกล่าว เพื่อให้ได้ผลลัพธ์นั้น คุณสามารถใช้สายเคเบิลเครือข่ายที่ไม่ได้เชื่อมต่อสาย TX หรือใช้การ์ดเครือข่ายแบบไม่มี IP (และไม่มี DHCP) ที่ไม่ส่งแพ็กเก็ตเลย สุดท้ายนี้ โปรดทราบว่าหากคุณต้องการใช้ Tap เพื่อป้องกันการสูญเสียแพ็กเก็ต คุณควรแยกทิศทางการรับส่งข้อมูลออกจากกัน หรือใช้สวิตช์ที่มีความเร็วในการรับส่งข้อมูลของทิศทางที่ถูกดักจับช้ากว่า (เช่น 100 Mbit) กว่าพอร์ตที่รวมข้อมูล (เช่น 1 Gbit)
ดังนั้น จะดักจับข้อมูลการรับส่งเครือข่ายได้อย่างไร? อุปกรณ์ดักจับเครือข่าย (Network Tap) กับพอร์ตสวิตช์ (Switch Port Mirror) แตกต่างกันอย่างไร?
1. ตั้งค่าได้ง่าย: Network Tap > Port Mirror
2. ผลกระทบต่อประสิทธิภาพเครือข่าย: Network Tap < Port Mirror
3. ความสามารถในการจับภาพ การจำลอง การรวมกลุ่ม และการส่งต่อ: Network Tap > Port Mirror
4. ความหน่วงในการส่งต่อทราฟฟิก: Network Tap < Port Mirror
5. ความสามารถในการประมวลผลข้อมูลล่วงหน้า: Network Tap > Port Mirror
วันที่โพสต์: 30 มีนาคม 2022
