เพื่อวิเคราะห์ปริมาณการรับส่งข้อมูลบนเครือข่าย จำเป็นต้องส่งแพ็กเก็ตเครือข่ายไปยัง NTOP/NPROBE หรือเครื่องมือรักษาความปลอดภัยและการตรวจสอบเครือข่ายแบบนอกแบนด์ ปัญหานี้สามารถแก้ไขได้สองวิธี:
การมิเรอร์พอร์ต(เรียกอีกอย่างว่า SPAN)
การแตะเครือข่าย(เรียกอีกอย่างว่า Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap เป็นต้น)
ก่อนที่จะอธิบายความแตกต่างระหว่างสองโซลูชัน (Port Mirror และ Network Tap) สิ่งสำคัญคือต้องเข้าใจวิธีการทำงานของอีเทอร์เน็ต ที่ความเร็ว 100 เมกะบิตขึ้นไป โฮสต์มักจะสื่อสารแบบฟูลดูเพล็กซ์ หมายความว่าโฮสต์หนึ่งสามารถส่ง (Tx) และรับ (Rx) ได้พร้อมกัน ซึ่งหมายความว่าในสายเคเบิล 100 เมกะบิตที่เชื่อมต่อกับโฮสต์หนึ่ง ปริมาณการรับส่งข้อมูลเครือข่ายทั้งหมดที่โฮสต์หนึ่งสามารถรับ/ส่ง (Tx/Rx) ได้คือ 2 × 100 เมกะบิต = 200 เมกะบิต
การมิเรอร์พอร์ตเป็นการจำลองแพ็กเก็ตที่ใช้งานอยู่ ซึ่งหมายความว่าอุปกรณ์เครือข่ายมีหน้าที่ทางกายภาพในการคัดลอกแพ็กเก็ตไปยังพอร์ตมิเรอร์
ซึ่งหมายความว่าอุปกรณ์จะต้องทำงานนี้โดยใช้ทรัพยากรบางอย่าง (เช่น CPU) และทิศทางการรับส่งข้อมูลทั้งสองทิศทางจะถูกจำลองไปยังพอร์ตเดียวกัน ดังที่ได้กล่าวไว้ก่อนหน้านี้ ในลิงก์แบบดูเพล็กซ์เต็มรูปแบบ นั่นหมายความว่า
A -> B และ B -> A
ผลรวมของ A จะไม่เกินความเร็วเครือข่ายก่อนที่จะเกิดการสูญหายของแพ็กเก็ต เนื่องจากไม่มีพื้นที่ทางกายภาพสำหรับการคัดลอกแพ็กเก็ต ปรากฏว่าการทำมิเรอร์พอร์ตเป็นเทคนิคที่ยอดเยี่ยม เนื่องจากสามารถทำได้โดยสวิตช์หลายตัว (แต่ไม่ใช่ทั้งหมด) เนื่องจากสวิตช์ส่วนใหญ่ที่มีข้อเสียของการสูญหายของแพ็กเก็ต หากคุณตรวจสอบลิงก์ที่มีโหลดเกิน 50% หรือมิเรอร์พอร์ตไปยังพอร์ตที่เร็วกว่า (เช่น มิเรอร์พอร์ต 100 Mbit ไปยังพอร์ต 1 Gbit) นอกจากนี้ การทำมิเรอร์แพ็กเก็ตอาจต้องใช้ทรัพยากรของสวิตช์ในการแลกเปลี่ยน ซึ่งอาจทำให้อุปกรณ์โหลดและทำให้ประสิทธิภาพการแลกเปลี่ยนลดลง โปรดทราบว่าคุณสามารถเชื่อมต่อพอร์ต 1 พอร์ตเข้ากับพอร์ตเดียว หรือเชื่อมต่อ VLAN 1 พอร์ตเข้ากับพอร์ตเดียว แต่โดยทั่วไปแล้วคุณไม่สามารถคัดลอกพอร์ตจำนวนมากไปยังพอร์ตเดียวได้ (เช่นเดียวกับมิเรอร์แพ็กเก็ต)
จุดเชื่อมต่อเครือข่าย (TAP)เป็นอุปกรณ์ฮาร์ดแวร์แบบพาสซีฟเต็มรูปแบบ ซึ่งสามารถดักจับข้อมูลบนเครือข่ายแบบพาสซีฟ โดยทั่วไปจะใช้เพื่อตรวจสอบข้อมูลการรับส่งข้อมูลระหว่างสองจุดในเครือข่าย หากเครือข่ายระหว่างสองจุดนี้ประกอบด้วยสายเคเบิลทางกายภาพ TAP ของเครือข่ายอาจเป็นวิธีที่ดีที่สุดในการดักจับข้อมูล
TAP เครือข่ายมีพอร์ตอย่างน้อยสามพอร์ต ได้แก่ พอร์ต A พอร์ต B และพอร์ตมอนิเตอร์ ในการวางแทประหว่างจุด A และ B สายเคเบิลเครือข่ายระหว่างจุด A และจุด B จะถูกแทนที่ด้วยสายเคเบิลคู่หนึ่ง โดยสายหนึ่งไปยังพอร์ต A ของ TAP และอีกสายหนึ่งไปยังพอร์ต B ของ TAP TAP จะส่งข้อมูลทั้งหมดระหว่างจุดเครือข่ายทั้งสองจุด ดังนั้นจุดทั้งสองจึงยังคงเชื่อมต่อถึงกัน TAP ยังคัดลอกข้อมูลไปยังพอร์ตมอนิเตอร์ ทำให้อุปกรณ์วิเคราะห์สามารถดักฟังได้
TAP เครือข่ายมักใช้กับอุปกรณ์ตรวจสอบและรวบรวมข้อมูล เช่น APS นอกจากนี้ TAP ยังสามารถใช้ในงานด้านความปลอดภัยได้ เนื่องจากไม่รบกวนระบบ ไม่สามารถตรวจจับได้บนเครือข่าย สามารถจัดการกับเครือข่ายแบบฟูลดูเพล็กซ์และเครือข่ายที่ไม่ใช้ร่วมกัน และมักจะส่งผ่านข้อมูลได้แม้ว่าอุปกรณ์ดักจับจะหยุดทำงานหรือไฟดับก็ตาม
เนื่องจากพอร์ต Network Taps ไม่ได้รับสัญญาณ แต่ส่งสัญญาณเพียงอย่างเดียว สวิตช์จึงไม่ทราบว่าใครอยู่หลังพอร์ต ผลที่ตามมาคือมันจะกระจายแพ็กเก็ตไปยังพอร์ตทั้งหมด ดังนั้น หากคุณเชื่อมต่ออุปกรณ์ตรวจสอบเข้ากับสวิตช์ อุปกรณ์นั้นจะรับแพ็กเก็ตทั้งหมด โปรดทราบว่ากลไกนี้จะทำงานหากอุปกรณ์ตรวจสอบไม่ได้ส่งแพ็กเก็ตใดๆ ไปยังสวิตช์ มิฉะนั้น สวิตช์จะถือว่าแพ็กเก็ตที่ถูกแตะนั้นไม่ได้ส่งไปยังอุปกรณ์นั้น เพื่อให้บรรลุเป้าหมายนี้ คุณสามารถใช้สายเคเบิลเครือข่ายที่คุณไม่ได้เชื่อมต่อสาย TX หรือใช้อินเทอร์เฟซเครือข่ายแบบไม่มี IP (และแบบไม่มี DHCP) ซึ่งจะไม่ส่งแพ็กเก็ตเลย สุดท้าย โปรดทราบว่าหากคุณต้องการใช้การแตะเพื่อไม่ให้แพ็กเก็ตสูญหาย ให้หลีกเลี่ยงการรวมทิศทาง หรือใช้สวิตช์ที่ทิศทางที่ถูกแตะนั้นช้ากว่า (เช่น 100 Mbit) ของพอร์ตที่รวม (เช่น 1 Gbit)
แล้วจะดักจับข้อมูลการรับส่งข้อมูลบนเครือข่ายได้อย่างไร? แท็ปเครือข่าย vs มิเรอร์พอร์ตสวิตช์
1- การกำหนดค่าที่ง่าย: แตะเครือข่าย > พอร์ตมิเรอร์
2- อิทธิพลของประสิทธิภาพเครือข่าย: การแตะเครือข่าย < มิเรอร์พอร์ต
3- ความสามารถในการจับภาพ การจำลอง การรวม การส่งต่อ: แตะเครือข่าย > พอร์ตมิเรอร์
4- ความหน่วงในการส่งต่อข้อมูล: แตะเครือข่าย < มิเรอร์พอร์ต
5- ความสามารถในการประมวลผลการรับส่งข้อมูลล่วงหน้า: แตะเครือข่าย > พอร์ตมิเรอร์
เวลาโพสต์: 30 มี.ค. 2565
