ความแตกต่างหลักระหว่างการดักจับแพ็กเก็ตโดยใช้พอร์ต Network TAP และ SPAN
การจำลองพอร์ต(หรือเรียกอีกอย่างว่า SPAN)
เน็ตเวิร์ก แทป(หรือเรียกอีกอย่างว่า Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap เป็นต้น)TAP (Terminal Access Point)อุปกรณ์ TAP (Network Tap) เป็นอุปกรณ์ฮาร์ดแวร์แบบพาสซีฟโดยสมบูรณ์ ซึ่งสามารถดักจับข้อมูลบนเครือข่ายได้โดยไม่ต้องมีการโต้ตอบใดๆ โดยทั่วไปจะใช้ในการตรวจสอบข้อมูลระหว่างสองจุดในเครือข่าย หากเครือข่ายระหว่างสองจุดนี้ประกอบด้วยสายเคเบิลทางกายภาพ อุปกรณ์ TAP อาจเป็นวิธีที่ดีที่สุดในการดักจับข้อมูล
ก่อนที่จะอธิบายความแตกต่างระหว่างสองวิธี (Port Mirror และ Network Tap) สิ่งสำคัญคือต้องเข้าใจวิธีการทำงานของ Ethernet ก่อน ที่ความเร็ว 100 Mbit ขึ้นไป โฮสต์มักจะสื่อสารกันแบบ Full Duplex ซึ่งหมายความว่าโฮสต์หนึ่งสามารถส่ง (Tx) และรับ (Rx) ได้พร้อมกัน นั่นหมายความว่าบนสายเคเบิล 100 Mbit ที่เชื่อมต่อกับโฮสต์หนึ่งตัว ปริมาณการรับส่งข้อมูลเครือข่ายทั้งหมดที่โฮสต์หนึ่งสามารถส่ง/รับ (Tx/Rx) ได้คือ 2 × 100 Mbit = 200 Mbit
การทำ Port mirroring คือการจำลองแพ็กเก็ตแบบแอคทีฟ ซึ่งหมายความว่าอุปกรณ์เครือข่ายมีหน้าที่รับผิดชอบในการคัดลอกแพ็กเก็ตไปยังพอร์ตที่ทำมิเรอร์ไว้
การเก็บข้อมูลปริมาณการใช้งาน: TAP เทียบกับ SPAN
เมื่อตรวจสอบปริมาณการรับส่งข้อมูลเครือข่าย หากคุณไม่ต้องการให้ความช่วยเหลือโดยตรงในขณะที่ผู้ใช้กำลังดำเนินการธุรกรรม คุณมีสองตัวเลือกหลัก ในบทความต่อไปนี้ เราจะให้ภาพรวมของ TAP (Test Access Point) และ SPAN (Switch Port Analyzer) สำหรับการวิเคราะห์เชิงลึก ผู้เชี่ยวชาญด้านการตรวจสอบแพ็กเก็ต Timo'Neill มีบทความหลายบทความที่ lovemytool.com ซึ่งให้รายละเอียดอย่างครบถ้วน แต่ในที่นี้ เราจะใช้แนวทางทั่วไปมากกว่า
สแปน
การทำ Port mirroring เป็นวิธีการตรวจสอบปริมาณการรับส่งข้อมูลเครือข่ายโดยการส่งสำเนาของแต่ละแพ็กเก็ตขาเข้าและ/หรือขาออกจากพอร์ตหนึ่งพอร์ตขึ้นไป (หรือ VLAN) ของสวิตช์ไปยังพอร์ตอื่นที่เชื่อมต่อกับเครื่องวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่าย Spans มักใช้ในระบบที่เรียบง่ายกว่าเพื่อตรวจสอบหลายไซต์พร้อมกัน จำนวนการส่งข้อมูลเครือข่ายที่สามารถตรวจสอบได้นั้นขึ้นอยู่กับตำแหน่งที่ติดตั้ง SPAN เทียบกับอุปกรณ์ในศูนย์ข้อมูล คุณอาจจะพบสิ่งที่คุณกำลังมองหา แต่ก็ง่ายที่จะพบว่าตัวเองมีข้อมูลมากเกินไป ตัวอย่างเช่น อาจพบสำเนาข้อมูลเดียวกันหลายชุดกระจายอยู่ทั่วทั้ง VLAN ซึ่งทำให้การแก้ไขปัญหา LAN ยากขึ้น และยังส่งผลต่อความเร็วของ CPU สวิตช์หรือส่งผลต่อ Ethernet ผ่านการตรวจจับตำแหน่ง โดยพื้นฐานแล้ว ยิ่งมี Spans มากเท่าไหร่ โอกาสที่จะสูญเสียแพ็กเก็ตก็ยิ่งมากขึ้นเท่านั้น เมื่อเทียบกับ Tap แล้ว Spans สามารถจัดการได้จากระยะไกล ซึ่งหมายความว่าใช้เวลาน้อยลงในการเปลี่ยนแปลงการกำหนดค่า แต่ยังคงจำเป็นต้องมีวิศวกรเครือข่ายอยู่ดี
พอร์ต SPAN ไม่ใช่เทคโนโลยีแบบพาสซีฟอย่างที่บางคนกล่าวอ้าง เพราะมันสามารถส่งผลกระทบต่อปริมาณการรับส่งข้อมูลในเครือข่ายได้หลายด้าน ซึ่งรวมถึง:
- ถึงเวลาเปลี่ยนการโต้ตอบเฟรมแล้ว
- การทิ้งแพ็กเก็ตเนื่องจากการค้นหาข้อมูลมากเกินไป
- แพ็กเก็ตที่เสียหายจะถูกทิ้งโดยไม่แจ้งให้ทราบล่วงหน้า ทำให้การวิเคราะห์เป็นไปได้ยาก
ดังนั้น พอร์ต SPAN จึงเหมาะสมกว่าในสถานการณ์ที่การสูญหายของแพ็กเก็ตไม่ส่งผลกระทบต่อการวิเคราะห์ หรือในกรณีที่คำนึงถึงต้นทุน
แตะ
ในทางตรงกันข้าม อุปกรณ์ดักฟัง (Tap) จำเป็นต้องลงทุนซื้อฮาร์ดแวร์ล่วงหน้า แต่ไม่จำเป็นต้องติดตั้งมากนัก เนื่องจากเป็นอุปกรณ์แบบพาสซีฟ จึงสามารถเชื่อมต่อและตัดการเชื่อมต่อจากเครือข่ายได้โดยไม่ส่งผลกระทบต่อเครือข่าย อุปกรณ์ดักฟังเป็นอุปกรณ์ฮาร์ดแวร์ที่ช่วยให้เข้าถึงข้อมูลที่ไหลผ่านเครือข่ายคอมพิวเตอร์ และมักใช้เพื่อความปลอดภัยของเครือข่ายและการตรวจสอบประสิทธิภาพ ทราฟฟิกที่ถูกตรวจสอบเรียกว่า "ทราฟฟิกแบบส่งผ่าน" (pass-through traffic) และพอร์ตที่ใช้ในการตรวจสอบเรียกว่า "พอร์ตตรวจสอบ" (monitoring port) เพื่อตรวจสอบเครือข่ายได้อย่างชัดเจนยิ่งขึ้น สามารถติดตั้งอุปกรณ์ดักฟังไว้ระหว่างเราเตอร์และสวิตช์ได้
เนื่องจาก TAP ไม่ส่งผลกระทบต่อแพ็กเก็ต จึงสามารถมองได้ว่าเป็นวิธีการตรวจสอบปริมาณการรับส่งข้อมูลเครือข่ายแบบพาสซีฟอย่างแท้จริง
โดยพื้นฐานแล้ว โซลูชัน TAP มีอยู่ 3 ประเภท:
- ตัวแยกสัญญาณเครือข่าย (1 : 1)
- รวม TAP (หลายรายการ : 1)
- การฟื้นฟู TAP (1 : หลายรายการ)
TAP จำลองการรับส่งข้อมูลไปยังเครื่องมือตรวจสอบแบบพาสซีฟเพียงเครื่องเดียว หรือไปยังอุปกรณ์ถ่ายทอดแพ็กเก็ตเครือข่ายความหนาแน่นสูง และให้บริการเครื่องมือทดสอบคุณภาพบริการ (QOS) เครื่องมือตรวจสอบเครือข่าย และเครื่องมือดักจับข้อมูลเครือข่าย เช่น Wireshark หลายเครื่อง (มักจะหลายเครื่อง)
นอกจากนี้ ประเภทของ TAP ยังแตกต่างกันไปตามประเภทของสายเคเบิล รวมถึง TAP ไฟเบอร์และ TAP ทองแดงระดับกิกะบิต ซึ่งทั้งสองแบบทำงานในลักษณะเดียวกันโดยการถ่ายโอนสัญญาณบางส่วนไปยังตัววิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่าย ในขณะที่ส่วนหลักยังคงส่งสัญญาณต่อไปโดยไม่หยุดชะงัก สำหรับ TAP ไฟเบอร์นั้น จะเป็นการแบ่งลำแสงออกเป็นสองส่วน ในขณะที่ในระบบสายเคเบิลทองแดงนั้น จะเป็นการจำลองสัญญาณไฟฟ้า
การเปรียบเทียบ TAP และ SPAN
ประการแรก พอร์ต SPAN ไม่เหมาะสำหรับลิงก์ 1G แบบฟูลดูเพล็กซ์ และแม้ว่าจะใช้งานต่ำกว่าความจุสูงสุด ก็ยังมีการดรอปแพ็กเก็ตอย่างรวดเร็วเนื่องจากมีภาระมากเกินไป หรือเพียงเพราะสวิตช์ให้ความสำคัญกับข้อมูลพอร์ตต่อพอร์ตปกติมากกว่าข้อมูลพอร์ต SPAN ต่างจากเน็ตเวิร์กแทป พอร์ต SPAN จะกรองข้อผิดพลาดระดับกายภาพ ทำให้การวิเคราะห์บางประเภททำได้ยากขึ้น และอย่างที่เราได้เห็นแล้ว เวลาเพิ่มขึ้นที่ไม่ถูกต้องและเฟรมที่เปลี่ยนแปลงอาจทำให้เกิดปัญหาอื่นๆ ในทางกลับกัน TAP สามารถใช้งานลิงก์ 1G แบบฟูลดูเพล็กซ์ได้
TAP ยังสามารถบันทึกแพ็กเก็ตได้อย่างสมบูรณ์และตรวจสอบแพ็กเก็ตเชิงลึกเพื่อหาโปรโตคอล การละเมิด การบุกรุก ฯลฯ ดังนั้น ข้อมูลจาก TAP จึงสามารถใช้เป็นหลักฐานในศาลได้ ในขณะที่ข้อมูลจากพอร์ต SPAN ไม่สามารถทำได้
ด้านความปลอดภัยเป็นอีกแง่มุมหนึ่งที่แตกต่างกันระหว่างสองเทคนิคนี้ พอร์ต SPAN มักถูกกำหนดค่าสำหรับการสื่อสารทางเดียว แต่ในบางกรณีก็สามารถรับการสื่อสารได้เช่นกัน ซึ่งก่อให้เกิดช่องโหว่ที่ร้ายแรง ในทางตรงกันข้าม TAP ไม่สามารถระบุที่อยู่ได้และไม่มีที่อยู่ IP ดังนั้นจึงไม่สามารถถูกแฮ็กได้
โดยทั่วไป พอร์ต SPAN จะไม่ส่งผ่านแท็ก VLAN ซึ่งอาจทำให้ตรวจจับความล้มเหลวของ VLAN ได้ยาก แต่แทปไม่สามารถมองเห็นเครือข่าย VLAN ทั้งหมดได้ในคราวเดียว หากไม่ได้ใช้แทปแบบรวม แทปจะไม่แสดงการติดตามแบบเดียวกันสำหรับทั้งสองช่องสัญญาณ แต่ต้องระมัดระวังในการตรวจจับการโอเวอร์โหลด มีแทปแบบรวม เช่น Booster ของ Profitap ที่รวมพอร์ต 10/100/1G จำนวนแปดพอร์ตเข้าเป็นเอาต์พุต 1G-10G
Booster สามารถรับแพ็กเก็ตได้โดยการแทรกแท็ก VLAN ด้วยวิธีนี้ ข้อมูลพอร์ตต้นทางของแต่ละแพ็กเก็ตจะถูกส่งต่อไปยังเครื่องวิเคราะห์
พอร์ต SPAN ยังคงเป็นเครื่องมือที่ผู้ดูแลระบบเครือข่ายใช้ แต่หากความเร็วและการเข้าถึงข้อมูลเครือข่ายทั้งหมดอย่างน่าเชื่อถือเป็นสิ่งสำคัญ TAP คือตัวเลือกที่ดีกว่า เมื่อตัดสินใจว่าจะเลือกใช้วิธีใด พอร์ต SPAN เหมาะสำหรับเครือข่ายที่มีการใช้งานต่ำ เนื่องจากแพ็กเก็ตที่สูญหายจะไม่ส่งผลกระทบต่อการวิเคราะห์ หรือสามารถละเว้นได้ในกรณีที่กังวลเรื่องค่าใช้จ่าย อย่างไรก็ตาม ในเครือข่ายที่มีปริมาณการรับส่งข้อมูลสูง ความจุ ความปลอดภัย และความน่าเชื่อถือของ TAP จะช่วยให้มองเห็นปริมาณการรับส่งข้อมูลในเครือข่ายได้อย่างครบถ้วนโดยไม่ต้องกังวลเรื่องการสูญหายของแพ็กเก็ตหรือการกรองข้อผิดพลาดในระดับกายภาพ
○ มองเห็นได้อย่างชัดเจน
○ จำลองการรับส่งข้อมูลทั้งหมด (แพ็กเก็ตทุกขนาดและทุกประเภท)
○ แบบพาสซีฟ ไม่รบกวน (ไม่เปลี่ยนแปลงข้อมูล)
○ เมื่อต่อแบบอนุกรม จะไม่มีการใช้พอร์ตสวิตช์เพื่อจำลองการรับส่งข้อมูลแบบฟูลดูเพล็กซ์ในชุดสายไฟ ติดตั้งง่าย (เสียบแล้วใช้งานได้เลย)
○ ปลอดภัยจากการถูกแฮ็ก (มองไม่เห็น เป็นอุปกรณ์ตรวจสอบที่แยกตัวออกจากเครือข่าย ไม่มีที่อยู่ IP/MAC)
○ ปรับขนาดได้
○ เหมาะสำหรับทุกสถานการณ์
○ มองเห็นได้บางส่วน
○ ไม่คัดลอกข้อมูลทั้งหมด (ทิ้งแพ็กเก็ตบางขนาดและประเภท)
○ ไม่ใช่แบบพาสซีฟ (การเปลี่ยนแปลงจังหวะเวลาของแพ็กเก็ต การเพิ่มความหน่วง)
○ ใช้พอร์ตสวิตช์ (แต่ละพอร์ต SPAN ใช้พอร์ตสวิตช์หนึ่งพอร์ต)
○ ไม่สามารถรองรับการสื่อสารแบบฟูลดูเพล็กซ์ได้ (แพ็กเก็ตจะถูกทิ้งเมื่อโอเวอร์โหลด และอาจรบกวนการทำงานของสวิตช์หลัก)
○ วิศวกรจำเป็นต้องกำหนดค่า
○ ไม่ปลอดภัย (ระบบตรวจสอบเป็นส่วนหนึ่งของเครือข่าย อาจก่อให้เกิดปัญหาด้านความปลอดภัย)
○ ไม่สามารถปรับขนาดได้
○ สามารถทำได้เฉพาะในบางสถานการณ์เท่านั้น
คุณอาจสนใจบทความที่เกี่ยวข้อง: วิธีการดักจับข้อมูลการรับส่งเครือข่าย? Network Tap กับ Port Mirror
วันที่เผยแพร่: 9 มิถุนายน 2568
