ในการตรวจสอบทราฟฟิกเครือข่าย เช่น การวิเคราะห์พฤติกรรมออนไลน์ของผู้ใช้ การตรวจสอบทราฟฟิกที่ผิดปกติ และการตรวจสอบแอปพลิเคชันเครือข่าย คุณจำเป็นต้องรวบรวมข้อมูลทราฟฟิกเครือข่าย การบันทึกทราฟฟิกเครือข่ายอาจไม่ถูกต้อง คุณจำเป็นต้องคัดลอกทราฟฟิกเครือข่ายปัจจุบันและส่งไปยังอุปกรณ์ตรวจสอบ ตัวแยกสัญญาณเครือข่าย หรือที่รู้จักกันในชื่อ Network TAP ทำหน้าที่นี้ มาดูคำจำกัดความของ Network TAP กัน
I. Network Tap คืออุปกรณ์ฮาร์ดแวร์ที่ให้วิธีการเข้าถึงข้อมูลที่ไหลผ่านเครือข่ายคอมพิวเตอร์ (จากวิกิพีเดีย)
II. ก.การแตะเครือข่ายหรือที่รู้จักกันในชื่อพอร์ตการเข้าถึงการทดสอบ (Test Access Port) เป็นอุปกรณ์ฮาร์ดแวร์ที่เสียบเข้ากับสายเคเบิลเครือข่ายโดยตรงและส่งการสื่อสารเครือข่ายไปยังอุปกรณ์อื่นๆ ตัวแยกสัญญาณเครือข่ายมักใช้ในระบบตรวจจับการบุกรุกเครือข่าย (IPS) ตัวตรวจจับเครือข่าย และโปรไฟเลอร์ ปัจจุบันการจำลองการสื่อสารไปยังอุปกรณ์เครือข่ายมักทำผ่านตัววิเคราะห์พอร์ตสวิตชิ่ง (พอร์ตสแปน) หรือที่เรียกว่าการมิเรอร์พอร์ตในการสวิตชิ่งเครือข่าย
III. Network Taps ใช้เพื่อสร้างพอร์ตการเข้าถึงแบบถาวรสำหรับการตรวจสอบแบบพาสซีฟ สามารถตั้งค่า Tap หรือ Test Access Port ระหว่างอุปกรณ์เครือข่ายสองตัว เช่น สวิตช์ เราเตอร์ และไฟร์วอลล์ Taps สามารถทำหน้าที่เป็นพอร์ตการเข้าถึงสำหรับอุปกรณ์ตรวจสอบที่ใช้รวบรวมข้อมูลแบบอินไลน์ ซึ่งรวมถึงระบบตรวจจับการบุกรุก ระบบป้องกันการบุกรุกที่ติดตั้งในโหมดพาสซีฟ เครื่องวิเคราะห์โปรโตคอล และเครื่องมือตรวจสอบระยะไกล (จาก NetOptics)
จากคำจำกัดความสามข้อข้างต้น เราสามารถสรุปคุณลักษณะของ Network TAP ได้หลายประการ ได้แก่ ฮาร์ดแวร์ อินไลน์ โปร่งใส
มาดูคุณสมบัติเหล่านี้กัน:
1. เป็นฮาร์ดแวร์อิสระ และด้วยเหตุนี้จึงไม่มีผลกระทบต่อภาระของอุปกรณ์เครือข่ายที่มีอยู่ ซึ่งมีข้อได้เปรียบเหนือการมิเรอร์พอร์ตมาก
2. เป็นอุปกรณ์แบบอินไลน์ พูดง่ายๆ คือต้องเชื่อมต่อกับเครือข่าย ซึ่งก็เข้าใจได้ อย่างไรก็ตาม วิธีนี้ยังมีข้อเสียคืออาจเกิดจุดขัดข้อง และเนื่องจากเป็นอุปกรณ์ออนไลน์ เครือข่ายปัจจุบันจึงต้องหยุดชะงักขณะติดตั้ง ขึ้นอยู่กับตำแหน่งที่ติดตั้ง
3. คำว่า Transparent หมายถึงตัวชี้ไปยังเครือข่ายปัจจุบัน การเข้าถึงเครือข่ายหลังจากการเชื่อมต่อแบบ Shunt เครือข่ายปัจจุบันสำหรับอุปกรณ์ทั้งหมดจะไม่มีผลใดๆ สำหรับอุปกรณ์เหล่านั้นจะโปร่งใสอย่างสมบูรณ์ แน่นอนว่ายังมีการรับส่งข้อมูลแบบ Shunt ของเครือข่ายไปยังอุปกรณ์ตรวจสอบ อุปกรณ์ตรวจสอบเครือข่ายจะโปร่งใส เหมือนกับว่าคุณอยู่ในช่องทางเข้าใหม่ไปยังเต้ารับไฟฟ้าใหม่ สำหรับเครื่องใช้ไฟฟ้าอื่นๆ ที่มีอยู่แล้ว ไม่มีอะไรเกิดขึ้น แม้แต่ตอนที่คุณถอดเครื่องใช้ไฟฟ้าออกและทันใดนั้นก็นึกถึงบทกวีที่ว่า "โบกแขนเสื้อของคุณ ไม่ใช่เมฆ"......
หลายคนคุ้นเคยกับการทำ Port Mirroring อยู่แล้ว ใช่ การทำ Port Mirroring ก็ให้ผลลัพธ์แบบเดียวกันได้เช่นกัน นี่คือการเปรียบเทียบระหว่าง Network Taps/Diverter และ Port Mirroring:
1. เนื่องจากพอร์ตของสวิตช์เองจะกรองแพ็กเก็ตข้อผิดพลาดและแพ็กเก็ตที่มีขนาดเล็กเกินไป การมิเรอร์พอร์ตจึงไม่สามารถรับประกันได้ว่าสามารถรับทราฟฟิกทั้งหมดได้ อย่างไรก็ตาม การแบ่งแยกข้อมูลจะช่วยรับประกันความสมบูรณ์ของข้อมูล เนื่องจากข้อมูลถูก "คัดลอก" อย่างสมบูรณ์ที่ชั้นกายภาพ
2. ในแง่ของประสิทธิภาพแบบเรียลไทม์ ในสวิตช์ระดับล่างบางตัว การมิเรอร์พอร์ตอาจทำให้เกิดความล่าช้าเมื่อคัดลอกข้อมูลไปยังพอร์ตมิเรอร์ และยังทำให้เกิดความล่าช้าเมื่อคัดลอกพอร์ต 10/100 ม. ไปยังพอร์ต GIGA อีกด้วย
3. การมิเรอร์พอร์ตกำหนดให้แบนด์วิดท์ของพอร์ตมิเรอร์ต้องมากกว่าหรือเท่ากับผลรวมของแบนด์วิดท์ของพอร์ตมิเรอร์ทั้งหมด อย่างไรก็ตาม สวิตช์บางตัวอาจไม่ปฏิบัติตามข้อกำหนดนี้
4. จำเป็นต้องกำหนดค่าการมิเรอร์พอร์ตบนสวิตช์ เมื่อจำเป็นต้องปรับพื้นที่ที่จะตรวจสอบ จำเป็นต้องกำหนดค่าสวิตช์ใหม่
เวลาโพสต์: 05 ส.ค. 2565
