Analizatory sieci - sposób na problemy
- Kamil Folga,
- 07.04.2011
Jak przechwytywać ruch sieciowy?
Obecnie dostępne są trzy metody podłączenia analizatora sieci: koncentratory, kopiowanie portów ("port mirroring" oraz SPAN) oraz liniowe włączenie się w transmisję.
Analizator sieci włączony do infrastruktury przy użyciu funkcji „port mirroring” (SPAN)
Przełączniki sieciowe wprowadziły inny model przekazywania pakietów. Nasłuchiwanie nie było tutaj już tak łatwe. Konieczne okazało się stworzenie nowej funkcji, która pozwoliłaby przekazać ruch z wybranych portów na jeden port, do którego przyłączony jest analizator. Funkcja - określana jako "port mirroring" lub SPAN - pozwala na kopiowanie ruchu z jednego lub więcej portów, a następnie przekazywanie go na pojedynczy port analizujący. Jednym z problemów związanych z nią jest opcja nadsubskrypcji - jeżeli na port analizujący prześlemy więcej ruchu niż jest w stanie przetworzyć, ramki wtedy będą odrzucane. Gdy kopiujemy dane z połączenia typu TRUNK, możemy mieć problem z analizą na porcie monitorującym. Kopiowanie zawartości portów może być także zabójcze dla samego przełącznika. Dodatkowe problemy to utrudnienia w analizie VLAN, ponieważ w takiej konfiguracji znaczniki VLAN są usuwane z pakietu. Warto też zaznaczyć, że przełączniki oferują ograniczoną liczbę portów SPAN. W części przełączników możemy skorzystać z funkcji SNOP oraz RMON, jako mechanizmów monitorowania w ograniczonym zakresie.
Zasada działania urządzenia TAP