ความแตกต่างหลักระหว่างการจับแพ็คเก็ตโดยใช้พอร์ตเครือข่าย TAP และ SPAN
การมิเรอร์พอร์ต(เรียกอีกอย่างว่า SPAN)
แตะเครือข่าย(เรียกอีกอย่างว่า Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap เป็นต้น)TAP (จุดเชื่อมต่อเทอร์มินัล)เป็นอุปกรณ์ฮาร์ดแวร์แบบพาสซีฟเต็มรูปแบบ ซึ่งสามารถดักจับข้อมูลบนเครือข่ายแบบพาสซีฟ โดยทั่วไปจะใช้เพื่อติดตามข้อมูลระหว่างสองจุดในเครือข่าย หากเครือข่ายระหว่างสองจุดนี้ประกอบด้วยสายเคเบิลจริง TAP ของเครือข่ายอาจเป็นวิธีที่ดีที่สุดในการดักจับข้อมูล
ก่อนที่จะอธิบายความแตกต่างระหว่างโซลูชันทั้งสอง (Port Mirror และ Network Tap) สิ่งสำคัญคือต้องเข้าใจก่อนว่าอีเทอร์เน็ตทำงานอย่างไร ที่ความเร็ว 100 เมกะบิตขึ้นไป โฮสต์มักจะสื่อสารแบบฟูลดูเพล็กซ์ ซึ่งหมายความว่าโฮสต์หนึ่งสามารถส่ง (Tx) และรับ (Rx) ได้พร้อมกัน ซึ่งหมายความว่าในสายเคเบิล 100 เมกะบิตที่เชื่อมต่อกับโฮสต์หนึ่ง ปริมาณการรับส่งข้อมูลเครือข่ายทั้งหมดที่โฮสต์หนึ่งสามารถส่ง/รับ (Tx/Rx)) ได้คือ 2 × 100 เมกะบิต = 200 เมกะบิต
การมิเรอร์พอร์ตเป็นการจำลองแพ็คเก็ตที่ใช้งานอยู่ ซึ่งหมายความว่าอุปกรณ์เครือข่ายจะรับผิดชอบทางกายภาพในการคัดลอกแพ็คเก็ตไปยังพอร์ตมิเรอร์
การดึงดูดปริมาณการเข้าชม: TAP เทียบกับ SPAN
เมื่อทำการตรวจสอบปริมาณการใช้งานเครือข่าย หากคุณไม่ต้องการให้ระบบสนับสนุนทำงานโดยตรงในขณะที่ผู้ใช้กำลังประมวลผลธุรกรรม คุณมีสองตัวเลือกหลัก ในบทความต่อไปนี้ เราจะสรุปภาพรวมของ TAP (Test Access Point) และ SPAN (Switch Port Analyzer) หากต้องการวิเคราะห์ในเชิงลึกยิ่งขึ้น ผู้เชี่ยวชาญด้านการตรวจสอบแพ็กเก็ตอย่าง Timo'Neill มีบทความหลายบทความที่ lovemytool.com ซึ่งให้รายละเอียดอย่างละเอียด แต่ในที่นี้ เราจะใช้แนวทางทั่วไปมากกว่า
สแปน
การมิเรอร์พอร์ตเป็นวิธีการตรวจสอบการรับส่งข้อมูลบนเครือข่ายโดยการส่งต่อสำเนาของแพ็กเก็ตขาเข้าและ/หรือขาออกจากพอร์ตหนึ่งพอร์ตขึ้นไป (หรือ VLAN) ของสวิตช์ไปยังพอร์ตอื่นที่เชื่อมต่อกับเครื่องวิเคราะห์การรับส่งข้อมูลบนเครือข่าย สแปนมักใช้ในระบบที่ง่ายกว่าเพื่อตรวจสอบไซต์ต่างๆ พร้อมกันหลายไซต์ จำนวนการส่งผ่านเครือข่ายที่แน่นอนที่สามารถตรวจสอบได้นั้นขึ้นอยู่กับตำแหน่งที่ติดตั้ง SPAN เทียบกับอุปกรณ์ของศูนย์ข้อมูล คุณอาจพบสิ่งที่ต้องการได้ แต่ก็อาจพบว่ามีข้อมูลมากเกินไปได้ง่าย ตัวอย่างเช่น เป็นไปได้ที่จะพบสำเนาข้อมูลเดียวกันหลายชุดใน VLAN ทั้งหมด ซึ่งทำให้การแก้ไขปัญหา LAN ยากขึ้น และยังส่งผลต่อความเร็วของ CPU ของสวิตช์หรือส่งผลต่ออีเทอร์เน็ตผ่านการตรวจจับตำแหน่ง โดยพื้นฐานแล้ว ยิ่งมีสแปนมากเท่าไร ก็ยิ่งมีแนวโน้มที่จะสูญเสียแพ็กเก็ตมากขึ้นเท่านั้น เมื่อเทียบกับแท็ป สแปนสามารถจัดการได้จากระยะไกล ซึ่งหมายความว่าใช้เวลาน้อยลงในการเปลี่ยนแปลงการกำหนดค่า แต่ยังคงต้องใช้วิศวกรเครือข่ายอยู่
พอร์ต SPAN ไม่ใช่เทคโนโลยีแบบพาสซีฟ ดังที่บางคนกล่าวอ้าง เนื่องจากพอร์ตสามารถส่งผลกระทบอื่นๆ ต่อปริมาณการรับส่งข้อมูลบนเครือข่ายได้ ซึ่งรวมถึง:
- ถึงเวลาเปลี่ยนการโต้ตอบของเฟรม
- ทิ้งแพ็กเก็ตเนื่องจากการค้นหามากเกินไป
- แพ็กเก็ตที่เสียหายจะถูกทิ้งโดยไม่ได้แจ้งให้ทราบ ทำให้การวิเคราะห์เกิดการขัดขวาง
ดังนั้น พอร์ต SPAN จึงเหมาะสมกว่าสำหรับสถานการณ์ที่การทิ้งแพ็กเก็ตไม่ส่งผลต่อการวิเคราะห์หรือเมื่อคำนึงถึงต้นทุน
แตะ
ในทางกลับกัน แท็ปจำเป็นต้องใช้เงินจำนวนมากในการซื้อฮาร์ดแวร์ล่วงหน้า แต่ก็ไม่จำเป็นต้องมีการตั้งค่ามากนัก เนื่องจากแท็ปเป็นแบบพาสซีฟ จึงสามารถเชื่อมต่อและตัดการเชื่อมต่อจากเครือข่ายได้โดยไม่ส่งผลกระทบ แท็ปเป็นอุปกรณ์ฮาร์ดแวร์ที่ให้วิธีในการเข้าถึงข้อมูลที่ไหลผ่านเครือข่ายคอมพิวเตอร์ และมักใช้เพื่อวัตถุประสงค์ในการรักษาความปลอดภัยเครือข่ายและการตรวจสอบประสิทธิภาพ ทราฟฟิกที่ตรวจสอบเรียกว่าทราฟฟิก "พาสทรู" และพอร์ตที่ใช้สำหรับการตรวจสอบเรียกว่า "พอร์ตการตรวจสอบ" เพื่อตรวจสอบเครือข่ายได้ชัดเจนยิ่งขึ้น สามารถวางแท็ปไว้ระหว่างเราเตอร์และสวิตช์ได้
เนื่องจาก TAP ไม่ส่งผลต่อแพ็คเก็ต จึงถือได้ว่าเป็นวิธีแบบพาสซีฟอย่างแท้จริงในการดูข้อมูลการรับส่งข้อมูลบนเครือข่าย
โดยพื้นฐานแล้วโซลูชัน TAP มีอยู่ 3 ประเภท:
- ตัวแยกสัญญาณเครือข่าย (1 : 1)
- Aggregate TAP (หลาย : 1)
- การฟื้นฟู TAP (1 : มัลติ)
TAP จำลองการรับส่งข้อมูลไปยังเครื่องมือตรวจสอบแบบพาสซีฟตัวเดียว หรือไปยังอุปกรณ์ถ่ายทอดแพ็คเก็ตเครือข่ายความหนาแน่นสูง และให้บริการเครื่องมือทดสอบ QOS เครื่องมือตรวจสอบเครือข่าย และเครื่องมือดมกลิ่นเครือข่าย เช่น Wireshark หลายตัว (มักจะหลายตัว)
นอกจากนี้ ประเภทของ TAP ยังแตกต่างกันไปตามประเภทของสายเคเบิล ได้แก่ TAP แบบไฟเบอร์และ TAP แบบทองแดงแบบกิกะบิต โดยทั้งสองประเภททำงานในลักษณะเดียวกันโดยพื้นฐานแล้วคือการถ่ายโอนส่วนหนึ่งของสัญญาณไปยังเครื่องวิเคราะห์ปริมาณการรับส่งข้อมูลบนเครือข่าย ในขณะที่โมเดลหลักยังคงส่งสัญญาณต่อไปโดยไม่หยุดชะงัก สำหรับ TAP แบบไฟเบอร์ จะทำการแยกลำแสงออกเป็นสองส่วน ในขณะที่ในระบบสายเคเบิลทองแดง จะทำการจำลองสัญญาณไฟฟ้า
การเปรียบเทียบ TAP และ SPAN
ประการแรก พอร์ต SPAN ไม่เหมาะสำหรับลิงก์ 1G แบบฟูลดูเพล็กซ์ และแม้ว่าจะต่ำกว่าความจุสูงสุด พอร์ต SPAN ก็ทิ้งแพ็กเก็ตอย่างรวดเร็วเนื่องจากมีภาระงานมากเกินไป หรือเพียงเพราะสวิตช์ให้ความสำคัญกับวันที่พอร์ตต่อพอร์ตปกติมากกว่าข้อมูลพอร์ต SPAN ซึ่งแตกต่างจากการดักจับเครือข่าย พอร์ต SPAN จะกรองข้อผิดพลาดของเลเยอร์ทางกายภาพออก ทำให้การวิเคราะห์บางประเภทยากขึ้น และอย่างที่เราเห็น เวลาที่เพิ่มขึ้นที่ไม่ถูกต้องและเฟรมที่เปลี่ยนแปลงอาจทำให้เกิดปัญหาอื่นๆ ได้ ในทางกลับกัน TAP สามารถใช้งานลิงก์ 1G แบบฟูลดูเพล็กซ์ได้
นอกจากนี้ TAP ยังสามารถจับแพ็กเก็ตได้ครบถ้วน และตรวจสอบแพ็กเก็ตอย่างละเอียดสำหรับโปรโตคอล การละเมิด การบุกรุก ฯลฯ ดังนั้น ข้อมูล TAP จึงสามารถใช้เป็นหลักฐานในศาลได้ ในขณะที่ข้อมูลพอร์ต SPAN ไม่สามารถทำได้
ความปลอดภัยเป็นอีกประเด็นหนึ่งที่เทคนิคทั้งสองมีความแตกต่างกัน พอร์ต SPAN มักถูกกำหนดค่าให้เป็นการสื่อสารทางเดียว แต่ในบางกรณี พอร์ตเหล่านี้อาจรับการสื่อสารได้ ซึ่งอาจทำให้เกิดช่องโหว่ร้ายแรงได้ ในทางกลับกัน TAP ไม่สามารถระบุที่อยู่ได้และไม่มีที่อยู่ IP ดังนั้นจึงไม่สามารถแฮ็กได้
พอร์ต SPAN มักจะไม่ผ่านแท็ก VLAN ซึ่งอาจทำให้การตรวจจับความผิดพลาดของ VLAN เป็นเรื่องยาก แต่แท็ปไม่สามารถมองเห็นเครือข่าย VLAN ทั้งหมดในครั้งเดียว หากไม่ใช้แท็ปรวม TAP จะไม่ให้การติดตามเดียวกันสำหรับทั้งสองช่องสัญญาณ แต่ต้องใช้ความระมัดระวังในการตรวจจับโอเวอร์เอจ มีแท็ปรวม เช่น Booster for Profitap ที่รวมพอร์ต 10/100/1G จำนวน 8 พอร์ตในเอาต์พุต 1G-10G
Booster สามารถเข้าสู่แพ็กเก็ตได้โดยการใส่แท็ก VLAN ด้วยวิธีนี้ ข้อมูลพอร์ตต้นทางของแต่ละแพ็กเก็ตจะถูกส่งต่อไปยังเครื่องวิเคราะห์
พอร์ต SPAN ยังคงเป็นเครื่องมือที่ผู้ดูแลระบบเครือข่ายจะใช้ แต่หากความเร็วและการเข้าถึงข้อมูลเครือข่ายทั้งหมดได้อย่างน่าเชื่อถือเป็นสิ่งสำคัญ TAP ถือเป็นตัวเลือกที่ดีกว่า เมื่อตัดสินใจว่าจะใช้แนวทางใด พอร์ต SPAN จะเหมาะสำหรับเครือข่ายที่มีการใช้งานต่ำ เนื่องจากแพ็กเก็ตที่สูญหายจะไม่ส่งผลต่อการวิเคราะห์หรือเป็นทางเลือกในกรณีที่ต้นทุนเป็นปัญหา อย่างไรก็ตาม ในเครือข่ายที่มีปริมาณการรับส่งข้อมูลสูง ความจุ ความปลอดภัย และความน่าเชื่อถือของ TAP จะทำให้มองเห็นปริมาณการรับส่งข้อมูลบนเครือข่ายได้ครบถ้วนโดยไม่ต้องกลัวว่าจะสูญเสียแพ็กเก็ตหรือต้องกรองข้อผิดพลาดของเลเยอร์ทางกายภาพออกไป
○ มองเห็นได้ชัดเจน
○ จำลองทราฟฟิกทั้งหมด (แพ็คเก็ตทั้งหมด ทุกขนาดและทุกประเภท)
○ พาสซีฟ ไม่รบกวน (ไม่เปลี่ยนแปลงข้อมูล)
○ ในซีรีส์ ไม่ใช้พอร์ตสวิตช์เพื่อจำลองการรับส่งข้อมูลแบบฟูลดูเพล็กซ์ในสายรัด ตั้งค่าได้ง่าย (เสียบแล้วใช้งานได้เลย)
○ ไม่เสี่ยงต่อการถูกแฮ็กเกอร์โจมตี (มองไม่เห็น มีอุปกรณ์ตรวจสอบแยกจากเครือข่าย ไม่มีที่อยู่ IP/MAC)
○ ปรับขนาดได้
○ เหมาะกับทุกสถานการณ์
○ การมองเห็นบางส่วน
○ ไม่คัดลอกทราฟฟิกทั้งหมด (ลดขนาดและประเภทของแพ็กเก็ต)
○ ไม่ใช่แบบพาสซีฟ (เปลี่ยนเวลาของแพ็กเก็ต เพิ่มเวลาแฝง)
○ ใช้พอร์ตสวิตช์ (พอร์ต SPAN แต่ละพอร์ตใช้พอร์ตสวิตช์)
○ ไม่สามารถจัดการการสื่อสารแบบฟูลดูเพล็กซ์ได้ (แพ็กเก็ตจะถูกทิ้งเมื่อโอเวอร์โหลด อาจรบกวนการทำงานของสวิตช์หลักด้วย)
○ วิศวกรต้องการกำหนดค่า
○ ไม่ปลอดภัย (ระบบตรวจสอบเป็นส่วนหนึ่งของเครือข่าย ปัญหาความปลอดภัยที่อาจเกิดขึ้น)
○ ไม่สามารถปรับขนาดได้
○ สามารถทำได้ภายใต้สถานการณ์บางอย่างเท่านั้น
คุณอาจสนใจบทความที่เกี่ยวข้อง: วิธีการดักจับข้อมูลเครือข่าย Network Tap กับ Port Mirror
เวลาโพสต์: 09-06-2025
