English

ネットワークトラフィックをキャプチャするには?ネットワークタップとポートミラー

ネットワークトラフィックを分析するには、ネットワークパケットをNTOP/NPROBE(帯域外ネットワークセキュリティおよび監視ツール)に送信する必要があります。この問題には2つの解決策があります。

ポートミラーリング(SPANとも呼ばれる)

ネットワークタップ(レプリケーション タップ、アグリゲーション タップ、アクティブ タップ、銅線タップ、イーサネット タップなどとも呼ばれます)

2つのソリューション(ポートミラーリングとネットワークタップ)の違いを説明する前に、イーサネットの仕組みを理解することが重要です。100Mbit以上の速度では、ホストは通常​​全二重通信を行います。つまり、1台のホストが送信(Tx)と受信(Rx)を同時に行うことができます。つまり、1台のホストに接続された100Mbitケーブルでは、1台のホストが送受信できるネットワークトラフィックの総量は、2 × 100Mbit = 200Mbitとなります。

ポートミラーリングはアクティブなパケットレプリケーションです。つまり、ネットワークデバイスがミラーリングされたポートにパケットを物理的にコピーする役割を担います。

ネットワークスイッチポートミラー

これは、デバイスが何らかのリソース(CPUなど)を使用してこのタスクを実行する必要があり、両方の方向のトラフィックが同じポートに複製されることを意味します。前述のように、全二重リンクでは、これは

A -> B と B -> A

A の合計は、パケット損失が発生する前にネットワーク速度を超えることはありません。これは、物理的にパケットをコピーするスペースがないためです。ポートミラーリングは、多くのスイッチ(すべてではない)で実行できるため、優れた手法であることがわかります。ほとんどのスイッチにはパケット損失の欠点があるため、50% を超える負荷でリンクを監視する場合、またはポートをより高速なポートにミラ​​ーリングする場合(たとえば、100 Mbit ポートを 1 Gbit ポートにミラ​​ーリングする)、ポートミラーリングは多くのスイッチ(すべてではない)で実行できるため、優れた手法です。言うまでもなく、パケットミラーリングではスイッチリソースの交換が必要になる場合があり、デバイスに負荷がかかり、交換パフォーマンスが低下する可能性があります。1 つのポートを 1 つのポートに接続したり、1 つの VLAN を 1 つのポートに接続したりすることはできますが、通常、複数のポートを 1 つにコピーすることはできないことに注意してください。(パケットミラーリングのように)がありません。

ネットワークTAP(端末アクセスポイント)完全にパッシブなハードウェアデバイスであり、ネットワーク上のトラフィックをパッシブにキャプチャできます。ネットワーク内の2点間のトラフィックを監視するためによく使用されます。2点間のネットワークが物理ケーブルで構成されている場合、ネットワークTAPはトラフィックをキャプチャする最適な方法となる可能性があります。

ネットワークタップには、少なくともAポート、Bポート、そしてモニターポートの3つのポートがあります。ポイントAとポイントBの間にタップを設置するには、ポイントAとポイントB間のネットワークケーブルを、1本をタップのAポートに接続し、もう1本をタップのBポートに接続する2本のケーブルに置き換えます。タップは2つのネットワークポイント間のすべてのトラフィックを通過させるため、2つのポイントは互いに接続されたままです。また、タップはトラフィックをモニターポートにコピーするため、分析デバイスが監視できるようになります。

ネットワークTAPは、APSなどの監視・収集デバイスでよく使用されます。TAPは目立たず、ネットワーク上で検出されず、全二重および非共有ネットワークに対応し、タップが動作を停止したり電源が失われたりしても通常はトラフィックを通過させるため、セキュリティアプリケーションにも使用できます。

ネットワークタップ集約

ネットワーク タップ ポートは受信せず送信のみを行うため、スイッチはポートの背後に誰がいるのかわかりません。結果として、パケットがすべてのポートにブロードキャストされます。したがって、監視デバイスをスイッチに接続すると、そのデバイスはすべてのパケットを受信します。このメカニズムは、監視デバイスがスイッチにパケットを送信しない場合に機能することに注意してください。そうでない場合、スイッチはタップされたパケットがそのデバイス宛てではないと見なします。これを実現するには、TX ワイヤを接続していないネットワーク ケーブルを使用するか、パケットをまったく送信しない IP なし (および DHCP なし) のネットワーク インターフェイスを使用します。最後に、パケットを失わないようにタップを使用する場合は、方向をマージしないか、タップされた方向がマージ ポート (1 Gbit など) よりも遅い (100 Mbit など) スイッチを使用することに注意してください。

ネットワークタップレプリケーション

では、ネットワークトラフィックをキャプチャするにはどうすればいいでしょうか?ネットワークタップとスイッチポートミラー

1- 簡単な設定: ネットワークタップ > ポートミラー

2- ネットワークパフォーマンスへの影響: ネットワークタップ < ポートミラー

3- キャプチャ、レプリケーション、集約、転送機能: ネットワークタップ > ポートミラー

4- トラフィック転送遅延: ネットワークタップ < ポートミラー

5- トラフィック前処理容量: ネットワークタップ > ポートミラー

ネットワークタップとポートミラー

投稿日時: 2022年3月30日
Enterキーを押して検索するか、ESCキーを押して閉じます