ความแตกต่างหลักระหว่างการจับแพ็คเก็ตโดยใช้พอร์ต Network TAP และ SPAN
การมิเรอร์พอร์ต(เรียกอีกอย่างว่า SPAN)
การแตะเครือข่าย(เรียกอีกอย่างว่า Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap เป็นต้น)TAP (จุดเชื่อมต่อเทอร์มินัล)เป็นอุปกรณ์ฮาร์ดแวร์แบบพาสซีฟเต็มรูปแบบ ซึ่งสามารถดักจับข้อมูลบนเครือข่ายแบบพาสซีฟ โดยทั่วไปจะใช้เพื่อตรวจสอบข้อมูลการรับส่งข้อมูลระหว่างสองจุดในเครือข่าย หากเครือข่ายระหว่างสองจุดนี้ประกอบด้วยสายเคเบิลทางกายภาพ TAP ของเครือข่ายอาจเป็นวิธีที่ดีที่สุดในการดักจับข้อมูล
ก่อนที่จะอธิบายความแตกต่างระหว่างสองโซลูชัน (Port Mirror และ Network Tap) สิ่งสำคัญคือต้องเข้าใจวิธีการทำงานของอีเทอร์เน็ต ที่ความเร็ว 100 เมกะบิตขึ้นไป โฮสต์มักจะสื่อสารแบบฟูลดูเพล็กซ์ หมายความว่าโฮสต์หนึ่งสามารถส่ง (Tx) และรับ (Rx) ได้พร้อมกัน ซึ่งหมายความว่าในสายเคเบิล 100 เมกะบิตที่เชื่อมต่อกับโฮสต์หนึ่ง ปริมาณการรับส่งข้อมูลเครือข่ายทั้งหมดที่โฮสต์หนึ่งสามารถรับ/ส่ง (Tx/Rx) ได้คือ 2 × 100 เมกะบิต = 200 เมกะบิต
การมิเรอร์พอร์ตเป็นการจำลองแพ็กเก็ตที่ใช้งานอยู่ ซึ่งหมายความว่าอุปกรณ์เครือข่ายมีหน้าที่ทางกายภาพในการคัดลอกแพ็กเก็ตไปยังพอร์ตมิเรอร์
การจับภาพการจราจร: TAP เทียบกับ SPAN
เมื่อตรวจสอบทราฟฟิกเครือข่าย หากคุณไม่ต้องการให้ฝ่ายสนับสนุนดำเนินการโดยตรงขณะที่ผู้ใช้กำลังประมวลผลธุรกรรม คุณมีสองตัวเลือกหลัก ในบทความต่อไปนี้ เราจะอธิบายภาพรวมของ TAP (Test Access Point) และ SPAN (Switch Port Analyzer) สำหรับการวิเคราะห์เชิงลึกยิ่งขึ้น Timo'Neill ผู้เชี่ยวชาญด้านการตรวจสอบแพ็กเก็ต มีบทความมากมายที่ lovemytool.com ซึ่งให้รายละเอียดอย่างละเอียด แต่ในบทความนี้ เราจะใช้แนวทางทั่วไปมากกว่า
สแปน
Port Mirroring เป็นวิธีการตรวจสอบทราฟฟิกเครือข่ายโดยการส่งต่อสำเนาของแพ็กเก็ตขาเข้าและ/หรือขาออกจากพอร์ต (หรือ VLAN) หนึ่งพอร์ตหรือมากกว่าของสวิตช์ไปยังพอร์ตอื่นที่เชื่อมต่อกับตัววิเคราะห์ทราฟฟิกเครือข่าย มักใช้ Span ในระบบที่ง่ายกว่าเพื่อตรวจสอบหลายไซต์พร้อมกัน จำนวนการส่งข้อมูลเครือข่ายที่แน่นอนที่สามารถตรวจสอบได้ขึ้นอยู่กับตำแหน่งที่ติดตั้ง SPAN เทียบกับอุปกรณ์ศูนย์ข้อมูล คุณอาจพบสิ่งที่ต้องการ แต่คุณอาจพบว่ามีข้อมูลมากเกินไปได้ง่าย ตัวอย่างเช่น เป็นไปได้ที่จะพบสำเนาข้อมูลเดียวกันหลายชุดทั่วทั้ง VLAN ซึ่งทำให้การแก้ไขปัญหา LAN ยากขึ้น และยังส่งผลต่อความเร็วของ CPU ของสวิตช์ หรือส่งผลกระทบต่อ Ethernet ผ่านการตรวจจับตำแหน่ง กล่าวโดยพื้นฐานแล้ว ยิ่ง Span มากเท่าไหร่ ก็ยิ่งมีโอกาสสูญเสียแพ็กเก็ตมากขึ้นเท่านั้น เมื่อเทียบกับ Taps แล้ว Span สามารถจัดการได้จากระยะไกล ซึ่งหมายความว่าใช้เวลาน้อยลงในการเปลี่ยนแปลงการกำหนดค่า แต่ยังคงต้องใช้วิศวกรเครือข่าย
พอร์ต SPAN ไม่ใช่เทคโนโลยีแบบพาสซีฟอย่างที่บางคนอ้าง เพราะสามารถส่งผลกระทบที่วัดได้อื่นๆ ต่อปริมาณการรับส่งข้อมูลในเครือข่าย รวมถึง:
- ถึงเวลาเปลี่ยนการโต้ตอบของเฟรม
- การทิ้งแพ็กเก็ตเนื่องจากการค้นหามากเกินไป
- แพ็กเก็ตที่เสียหายจะถูกทิ้งโดยไม่แจ้งให้ทราบล่วงหน้า ส่งผลให้การวิเคราะห์ได้รับอุปสรรค
ดังนั้น พอร์ต SPAN จึงเหมาะสมกว่าสำหรับสถานการณ์ที่การทิ้งแพ็กเก็ตไม่ส่งผลต่อการวิเคราะห์หรือเมื่อพิจารณาถึงต้นทุน
แตะ
ในทางตรงกันข้าม แท็ปจำเป็นต้องลงทุนซื้อฮาร์ดแวร์ล่วงหน้า แต่ก็ไม่จำเป็นต้องติดตั้งอะไรมากมาย เนื่องจากแท็ปเป็นแบบพาสซีฟ จึงสามารถเชื่อมต่อและตัดการเชื่อมต่อจากเครือข่ายได้โดยไม่ส่งผลกระทบต่อเครือข่าย แท็ปเป็นอุปกรณ์ฮาร์ดแวร์ที่ทำหน้าที่เป็นช่องทางในการเข้าถึงข้อมูลที่ไหลผ่านเครือข่ายคอมพิวเตอร์ และมักใช้เพื่อวัตถุประสงค์ด้านความปลอดภัยและการตรวจสอบประสิทธิภาพของเครือข่าย ทราฟฟิกที่ถูกตรวจสอบเรียกว่าทราฟฟิกแบบ "พาสทรู" และพอร์ตที่ใช้สำหรับการตรวจสอบเรียกว่า "พอร์ตมอนิเตอร์" เพื่อให้สามารถวิเคราะห์เครือข่ายได้ชัดเจนยิ่งขึ้น แท็ปสามารถวางอยู่ระหว่างเราเตอร์และสวิตช์ได้
เนื่องจาก TAP ไม่ส่งผลต่อแพ็คเก็ต จึงถือได้ว่าเป็นวิธีแบบพาสซีฟในการดูข้อมูลการรับส่งข้อมูลบนเครือข่ายอย่างแท้จริง
โดยพื้นฐานแล้วโซลูชัน TAP มีอยู่ 3 ประเภท:
- ตัวแยกเครือข่าย (1 : 1)
- Aggregate TAP (หลาย : 1)
- การฟื้นฟู TAP (1 : หลาย)
TAP จำลองการรับส่งข้อมูลไปยังเครื่องมือตรวจสอบแบบพาสซีฟตัวเดียวหรือไปยังอุปกรณ์ถ่ายทอดแพ็กเก็ตเครือข่ายความหนาแน่นสูง และให้บริการเครื่องมือทดสอบ QOS เครื่องมือตรวจสอบเครือข่าย และเครื่องมือดมกลิ่นเครือข่าย เช่น Wireshark หลายตัว (บ่อยครั้งหลายตัว)
นอกจากนี้ ประเภทของ TAP ยังแตกต่างกันไปตามประเภทของสายเคเบิล รวมถึง TAP แบบไฟเบอร์และ TAP แบบกิกะบิตทองแดง ซึ่งทั้งสองแบบทำงานในลักษณะเดียวกันโดยพื้นฐานแล้วคือการถ่ายสัญญาณบางส่วนไปยังเครื่องวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่าย ในขณะที่แบบจำลองหลักยังคงส่งสัญญาณอย่างต่อเนื่องโดยไม่หยุดชะงัก สำหรับ TAP แบบไฟเบอร์ การแบ่งลำแสงออกเป็นสองส่วน ในขณะที่ระบบสายเคเบิลทองแดง การจำลองสัญญาณไฟฟ้า
การเปรียบเทียบ TAP และ SPAN
ประการแรก พอร์ต SPAN ไม่เหมาะสำหรับลิงก์ 1G แบบฟูลดูเพล็กซ์ และแม้จะต่ำกว่าความจุสูงสุด พอร์ตก็ยังสามารถปล่อยแพ็กเก็ตได้อย่างรวดเร็วเนื่องจากมีการใช้งานมากเกินไป หรือเพียงเพราะสวิตช์ให้ความสำคัญกับวันที่พอร์ตต่อพอร์ตปกติมากกว่าข้อมูลพอร์ต SPAN ซึ่งแตกต่างจากการดักจับข้อมูลบนเครือข่าย พอร์ต SPAN จะกรองข้อผิดพลาดของชั้นกายภาพออก ทำให้การวิเคราะห์บางประเภททำได้ยากขึ้น และอย่างที่เราเห็น เวลาที่เพิ่มขึ้นที่ไม่ถูกต้องและเฟรมที่เปลี่ยนแปลงอาจทำให้เกิดปัญหาอื่นๆ ได้ ในทางกลับกัน TAP สามารถใช้งานลิงก์ 1G แบบฟูลดูเพล็กซ์ได้
นอกจากนี้ TAP ยังสามารถจับแพ็กเก็ตได้ครบถ้วนและตรวจสอบแพ็กเก็ตอย่างละเอียดสำหรับโปรโตคอล การละเมิด การบุกรุก ฯลฯ ดังนั้น ข้อมูล TAP จึงสามารถใช้เป็นหลักฐานในศาลได้ ในขณะที่ข้อมูลพอร์ต SPAN ไม่สามารถทำได้
ความปลอดภัยเป็นอีกแง่มุมหนึ่งที่เทคนิคทั้งสองมีความแตกต่างกัน โดยทั่วไปพอร์ต SPAN จะถูกกำหนดค่าให้เป็นการสื่อสารทางเดียว แต่ในบางกรณีก็อาจรับการสื่อสารได้ ซึ่งอาจทำให้เกิดช่องโหว่ร้ายแรง ในทางกลับกัน TAP ไม่สามารถระบุแอดเดรสได้และไม่มีที่อยู่ IP ดังนั้นจึงไม่สามารถถูกแฮ็กได้
โดยทั่วไปแล้ว พอร์ต SPAN จะไม่ผ่านแท็ก VLAN ซึ่งอาจทำให้การตรวจจับความล้มเหลวของ VLAN เป็นเรื่องยาก แต่แทปไม่สามารถมองเห็นเครือข่าย VLAN ทั้งหมดได้ในคราวเดียว หากไม่ใช้แทปรวม TAP จะไม่แสดงการติดตามแบบเดียวกันสำหรับทั้งสองช่องสัญญาณ แต่ต้องใช้ความระมัดระวังในการตรวจจับโอเวอร์เอจ มีแทปรวม เช่น Booster for Profitap ที่รวมพอร์ต 10/100/1G จำนวนแปดพอร์ตในเอาต์พุต 1G-10G
Booster สามารถเข้าสู่แพ็กเก็ตได้โดยการใส่แท็ก VLAN ด้วยวิธีนี้ ข้อมูลพอร์ตต้นทางของแต่ละแพ็กเก็ตจะถูกส่งต่อไปยังเครื่องวิเคราะห์
พอร์ต SPAN ยังคงเป็นเครื่องมือที่ผู้ดูแลระบบเครือข่ายจะใช้งาน แต่หากความเร็วและการเข้าถึงข้อมูลเครือข่ายทั้งหมดที่เชื่อถือได้เป็นสิ่งสำคัญ TAP ถือเป็นตัวเลือกที่ดีกว่า เมื่อต้องตัดสินใจว่าจะเลือกใช้พอร์ต SPAN ใด พอร์ต SPAN จึงเหมาะสมกว่าสำหรับเครือข่ายที่มีการใช้งานต่ำ เนื่องจากแพ็กเก็ตที่สูญหายจะไม่ส่งผลกระทบต่อการวิเคราะห์ หรือเป็นทางเลือกในกรณีที่มีค่าใช้จ่ายสูง อย่างไรก็ตาม ในเครือข่ายที่มีปริมาณการรับส่งข้อมูลสูง ความจุ ความปลอดภัย และความน่าเชื่อถือของ TAP จะช่วยให้มองเห็นปริมาณการรับส่งข้อมูลบนเครือข่ายของคุณได้อย่างเต็มที่ โดยไม่ต้องกลัวว่าจะเกิดการสูญหายของแพ็กเก็ตหรือกรองข้อผิดพลาดของชั้นกายภาพออก
○ มองเห็นได้ชัดเจน
○ จำลองการรับส่งข้อมูลทั้งหมด (แพ็กเก็ตทั้งหมดทุกขนาดและทุกประเภท)
○ พาสซีฟ ไม่รบกวน (ไม่เปลี่ยนแปลงข้อมูล)
○ ในชุด ไม่ใช้พอร์ตสวิตช์เพื่อจำลองการรับส่งข้อมูลแบบฟูลดูเพล็กซ์ในสายรัด ตั้งค่าได้ง่าย (เสียบและเล่น)
○ ไม่เสี่ยงต่อการถูกแฮ็กเกอร์ (อุปกรณ์ตรวจสอบที่มองไม่เห็น แยกจากเครือข่าย ไม่มีที่อยู่ IP/MAC)
○ ปรับขนาดได้
○ เหมาะกับทุกสถานการณ์
○ การมองเห็นบางส่วน
○ ไม่คัดลอกข้อมูลทั้งหมด (ทิ้งขนาดและประเภทของแพ็กเก็ตบางประเภท)
○ ไม่ใช่แบบพาสซีฟ (เปลี่ยนเวลาของแพ็กเก็ต เพิ่มเวลาแฝง)
○ ใช้พอร์ตสวิตช์ (พอร์ต SPAN แต่ละพอร์ตใช้พอร์ตสวิตช์)
○ ไม่สามารถจัดการการสื่อสารแบบฟูลดูเพล็กซ์ได้ (แพ็กเก็ตจะถูกทิ้งเมื่อโอเวอร์โหลด อาจรบกวนการทำงานของสวิตช์หลักได้)
○ วิศวกรต้องกำหนดค่า
○ ไม่ปลอดภัย (ระบบตรวจสอบเป็นส่วนหนึ่งของเครือข่าย ปัญหาความปลอดภัยที่อาจเกิดขึ้น)
○ ไม่สามารถปรับขนาดได้
○ ทำได้ภายใต้สถานการณ์บางอย่างเท่านั้น
คุณอาจสนใจบทความที่เกี่ยวข้อง: วิธีการบันทึกข้อมูลการรับส่งข้อมูลเครือข่าย Network Tap เทียบกับ Port Mirror
เวลาโพสต์: 9 มิ.ย. 2568
