Sareko trafikoa aztertzeko, sareko paketea NTOP/NPROBE edo Out-of-band Network Security and Monitoring Tools-era bidali behar da. Arazo honetarako bi irtenbide daude:
Portuen islatzea(SPAN izenez ere ezaguna)
Sareko Ukipena(erreplikazio-tapoia, agregazio-tapoia, tapoi aktiboa, kobre-tapoia, Ethernet-tapoia eta abar bezala ere ezaguna)
Bi irtenbideen (Port Mirror eta Network Tap) arteko desberdintasunak azaldu aurretik, garrantzitsua da Ethernet-ek nola funtzionatzen duen ulertzea. 100Mbit-etan eta gehiagotan, host-ek normalean full duplex moduan hitz egiten dute, hau da, host batek aldi berean bidali (Tx) eta jaso (Rx) egin ditzake. Horrek esan nahi du host bati konektatutako 100 Mbit-eko kable batean, host batek bidali/jaso dezakeen sareko trafikoaren kopuru osoa (Tx/Rx) 2 × 100 Mbit = 200 Mbit dela.
Portuaren islatzea paketeen erreplikazio aktiboa da, hau da, sareko gailua fisikoki arduratzen da paketea ispiluko portuan kopiatzeaz.
Horrek esan nahi du gailuak zeregin hau baliabideren bat erabiliz (CPUa adibidez) burutu behar duela, eta bi trafiko norabideak portu berera erreplikatuko direla. Aurretik aipatu bezala, lotura duplex oso batean, honek esan nahi du
A -> B eta B -> A
A-ren baturak ez du sarearen abiadura gaindituko paketeen galera gertatu aurretik. Hau da, fisikoki ez dagoelako paketeak kopiatzeko lekurik. Badirudi ataken islatzea teknika bikaina dela, switch askok (baina ez guztiek) egin dezaketelako, paketeen galeraren eragozpena duten switch gehienek % 50eko karga baino gehiagoko esteka bat kontrolatzen baduzu edo atakak ataka azkarrago batean islatzen badituzu (adibidez, 100 Mbit-eko atakak 1 Gbit-eko ataka batean islatzen badituzu). Aipatu gabe, paketeen islatzeak switchen baliabideak trukatzea eska dezakeela, eta horrek gailua kargatu eta trukearen errendimendua hondatu dezake. Kontuan izan ataka 1 ataka batera konekta dezakezula, edo VLAN 1 ataka batera, baina, oro har, ezin dituzula ataka asko 1era kopiatu. (Beraz, paketeen ispilua) falta da.
Sareko TAP bat (Terminal Sarbide Puntua)hardware gailu guztiz pasiboa da, sare bateko trafikoa pasiboki harrapatzeko gai dena. Sareko bi punturen arteko trafikoa kontrolatzeko erabiltzen da normalean. Bi puntu horien arteko sarea kable fisiko batez osatuta badago, sareko TAP bat izan daiteke trafikoa harrapatzeko modurik onena.
Sareko TAPak gutxienez hiru ataka ditu: A ataka bat, B ataka bat eta monitore ataka bat. A eta B puntuen artean tap bat jartzeko, A puntuaren eta B puntuaren arteko sare kablea bi kablerekin ordezkatzen da, bata TAParen A atakara eta bestea TAParen B atakara. TAPak bi sare puntuen arteko trafiko guztia pasatzen du, beraz, elkarri konektatuta jarraitzen dute. TAPak trafikoa bere monitore atakara ere kopiatzen du, eta horrela analisi gailu batek entzutea ahalbidetzen du.
Sareko TAPak normalean APS bezalako monitorizazio eta bilketa gailuek erabiltzen dituzte. TAPak segurtasun aplikazioetan ere erabil daitezke, ez direlako oztopotsuak, ez direlako sarean detektatzen, sare full-duplex eta partekatu gabekoekin lan egin dezaketelako, eta normalean trafikoa pasatzen dutelako tap-ak funtzionatzeari utzi edo energia galdu arren.
Network Taps atakek ez dute jasotzen, transmititu bakarrik egiten dutenez, etengailuak ez daki nor dagoen ataken atzean. Ondorioz, paketeak ataka guztietara igortzen ditu. Beraz, zure monitorizazio-gailua etengailura konektatzen baduzu, gailu horrek pakete guztiak jasoko ditu. Kontuan izan mekanismo honek funtzionatzen duela monitorizazio-gailuak ez badio paketerik bidaltzen etengailuari; bestela, etengailuak suposatuko du tapatutako paketeak ez direla gailu horretarako. Horretarako, TX kableak konektatu ez dituzun sare-kable bat erabil dezakezu, edo IP gabeko (eta DHCP gabeko) sare-interfaze bat erabil dezakezu, paketerik transmititzen ez duena. Azkenik, kontuan izan paketeak ez galtzeko tap bat erabili nahi baduzu, ez batu norabideak edo erabili tapatutako norabideak batu ataka baino motelagoak diren etengailu bat (adibidez, 100 Mbit).
Beraz, nola harrapatu sareko trafikoa? Sareko konexioak vs. switch ataken ispilua
1- Konfigurazio erraza: Sarearen Sakatu > Portuaren Ispilua
2- Sarearen errendimenduaren eragina: Sarearen ukipena < Portuaren ispilua
3- Harrapaketa, erreplikazioa, agregazioa, birbidaltzeko gaitasuna: Sarearen ukitua > Portuaren ispilua
4- Trafiko Birbidaltze Latentzia: Sarearen Ukipena < Portuaren Ispilua
5- Trafiko aurreprozesatzeko gaitasuna: Sarearen ukitua > Portuaren ispilua
Argitaratze data: 2022ko martxoaren 30a
