Analizatory sieci - sposób na problemy

Jak przechwytywać ruch sieciowy?

Obecnie dostępne są trzy metody podłączenia analizatora sieci: koncentratory, kopiowanie portów ("port mirroring" oraz SPAN) oraz liniowe włączenie się w transmisję.

Analizatory sieci - sposób na problemy

Analizator sieci włączony do infrastruktury przy użyciu funkcji „port mirroring” (SPAN)

Koncentratory to już historyczne rozwiązanie, umożliwiające przyłączenie urządzeń do sieci. Ich zadaniem było przekazywanie każdego ruchu na każdy port urządzenia. W ten sposób, podłączając analizator do koncentratora, możemy zbierać ramki, które będą podlegały analizie. Zaletą rozwiązania jest niski koszt wdrożenia i dostępność. Problemy, to z pewnością jego ograniczona wydajność oraz konwersja z trybu full duplex na half duplex.

Przełączniki sieciowe wprowadziły inny model przekazywania pakietów. Nasłuchiwanie nie było tutaj już tak łatwe. Konieczne okazało się stworzenie nowej funkcji, która pozwoliłaby przekazać ruch z wybranych portów na jeden port, do którego przyłączony jest analizator. Funkcja - określana jako "port mirroring" lub SPAN - pozwala na kopiowanie ruchu z jednego lub więcej portów, a następnie przekazywanie go na pojedynczy port analizujący. Jednym z problemów związanych z nią jest opcja nadsubskrypcji - jeżeli na port analizujący prześlemy więcej ruchu niż jest w stanie przetworzyć, ramki wtedy będą odrzucane. Gdy kopiujemy dane z połączenia typu TRUNK, możemy mieć problem z analizą na porcie monitorującym. Kopiowanie zawartości portów może być także zabójcze dla samego przełącznika. Dodatkowe problemy to utrudnienia w analizie VLAN, ponieważ w takiej konfiguracji znaczniki VLAN są usuwane z pakietu. Warto też zaznaczyć, że przełączniki oferują ograniczoną liczbę portów SPAN. W części przełączników możemy skorzystać z funkcji SNOP oraz RMON, jako mechanizmów monitorowania w ograniczonym zakresie.

Analizatory sieci - sposób na problemy

Zasada działania urządzenia TAP

Najpewniejszym rozwiązaniem do nasłuchiwania ruchu sieciowego są urządzenia określane jako TAP. Podpina się je bezpośrednio, w celu połączenia dwóch urządzeń sieciowych. Praca TAP-ów jest trochę inna niż przełączników czy koncentratorów sieciowych. Urządzenia TAP mają trzy porty: port A, port B oraz port monitorujący. Pakiety przechodzące z punktu A do punktu B są przekazywane przy jednoczesnym kopiowaniu na port monitorujący. Nawet gdy TAP straci zasilanie, połączenie sieciowe nie jest rozłączane. Istnieją konfiguracje TAP-ów obsługujące więcej niż jeden port. Zaletą takich rozwiązań jest możliwość umieszczenia sond w dowolnym punkcie sieci i integracji wyników w jednym miejscu. TAP-y obsługują zarówno światłowodowe, jak i miedziane połączenia. Nie wprowadzają do ruchu dodatkowych opóźnień czy zniekształceń, nie powodują również zatorów w sieci. Producentami urządzeń typu TAP są m.in.: NetOptics, Gigamon, Finisar.


TOP 200