لتحليل حركة مرور الشبكة، من الضروري إرسال حزمة البيانات إلى NTOP/NPROBE أو أدوات مراقبة وأمن الشبكة خارج النطاق. يوجد حلان لهذه المشكلة:
نسخ المنفذ(المعروف أيضًا باسم SPAN)
اتصال الشبكة(يُعرف أيضًا باسم Replication Tap، وAggregation Tap، وActive Tap، وCurbre Tap، وEthernet Tap، وما إلى ذلك)
قبل شرح الفروقات بين الحلين (Port Mirror وNetwork Tap)، من المهم فهم آلية عمل الإيثرنت. عند سرعات 100 ميجابت/ثانية وما فوق، تتواصل الأجهزة عادةً بنظام الإرسال والاستقبال المتزامن (Full Dual-Duplex)، أي أن الجهاز الواحد يستطيع الإرسال (Tx) والاستقبال (Rx) في آنٍ واحد. هذا يعني أنه على كابل بسرعة 100 ميجابت/ثانية متصل بجهاز واحد، فإن إجمالي حجم بيانات الشبكة التي يمكن للجهاز إرسالها/استقبالها (Tx/Rx) هو 2 × 100 ميجابت/ثانية = 200 ميجابت/ثانية.
تُعد عملية نسخ المنفذ عملية نسخ نشطة للحزم، مما يعني أن جهاز الشبكة مسؤول فعليًا عن نسخ الحزمة إلى المنفذ المنسوخ.
هذا يعني أن الجهاز يجب أن يؤدي هذه المهمة باستخدام بعض الموارد (مثل وحدة المعالجة المركزية)، وسيتم نسخ كلا اتجاهي حركة البيانات إلى نفس المنفذ. وكما ذكرنا سابقًا، في وصلة الإرسال والاستقبال المتزامنة، هذا يعني أن
أ -> ب و ب -> أ
لن يتجاوز مجموع A سرعة الشبكة قبل حدوث فقدان الحزم. والسبب في ذلك هو عدم وجود مساحة كافية لنسخ الحزم. اتضح أن تقنية نسخ المنافذ فعالة للغاية، إذ يمكن للعديد من المحولات (وليس جميعها) تنفيذها، لأن معظمها يعاني من عيب فقدان الحزم، خاصةً عند مراقبة وصلة يزيد حملها عن 50%، أو عند نسخ المنافذ على منفذ أسرع (مثل نسخ منافذ 100 ميجابت على منفذ 1 جيجابت). ناهيك عن أن نسخ الحزم قد يتطلب تبادل موارد المحولات، مما قد يُحمّل الجهاز ويؤدي إلى تدهور أداء التبادل. تجدر الإشارة إلى أنه يمكنك توصيل منفذ واحد بمنفذ آخر، أو شبكة VLAN واحدة بمنفذ واحد، ولكن لا يمكنك عمومًا نسخ منافذ متعددة إلى منفذ واحد (لذا فإن نسخ الحزم غير ممكن).
نقطة وصول طرفية (TAP) للشبكةهو جهاز مادي سلبي بالكامل، قادر على التقاط حركة البيانات على الشبكة بشكل سلبي. يُستخدم عادةً لمراقبة حركة البيانات بين نقطتين في الشبكة. إذا كانت الشبكة بين هاتين النقطتين تتكون من كابل فعلي، فقد يكون جهاز مراقبة الشبكة (TAP) هو أفضل طريقة لالتقاط حركة البيانات.
يحتوي جهاز مراقبة الشبكة (TAP) على ثلاثة منافذ على الأقل: منفذ A، ومنفذ B، ومنفذ مراقبة. لتوصيل جهاز مراقبة بين النقطتين A وB، يُستبدل كابل الشبكة بينهما بكابلين، أحدهما متصل بمنفذ A في جهاز المراقبة، والآخر بمنفذ B. يقوم جهاز المراقبة بتمرير جميع البيانات بين النقطتين، مما يضمن استمرار اتصالهما. كما يقوم الجهاز بنسخ البيانات إلى منفذ المراقبة، مما يُمكّن جهاز التحليل من الاستماع.
تُستخدم أجهزة مراقبة الشبكة (TAPs) بشكل شائع من قبل أجهزة المراقبة وجمع البيانات مثل أنظمة منع الاختراق (APS). كما يمكن استخدامها في تطبيقات الأمن لأنها غير مزعجة، ولا يمكن اكتشافها على الشبكة، ويمكنها التعامل مع الشبكات ثنائية الاتجاه وغير المشتركة، وعادةً ما تسمح بمرور البيانات حتى في حالة توقف الجهاز عن العمل أو انقطاع التيار الكهربائي عنه.
بما أن منافذ مراقبة الشبكة لا تستقبل البيانات بل ترسلها فقط، فإن المحول لا يعرف هوية الجهاز المتصل بها. ونتيجة لذلك، يقوم المحول ببث الحزم إلى جميع المنافذ. لذا، إذا قمت بتوصيل جهاز المراقبة الخاص بك بالمحول، فسيستقبل هذا الجهاز جميع الحزم. تجدر الإشارة إلى أن هذه الآلية تعمل فقط إذا لم يرسل جهاز المراقبة أي حزمة إلى المحول؛ وإلا، سيفترض المحول أن الحزم التي تم رصدها ليست موجهة إلى هذا الجهاز. لتحقيق ذلك، يمكنك إما استخدام كابل شبكة لم تقم بتوصيل أسلاك الإرسال به، أو استخدام واجهة شبكة بدون بروتوكول الإنترنت (وبدون خادم DHCP) لا ترسل الحزم على الإطلاق. وأخيرًا، إذا كنت ترغب في استخدام منفذ مراقبة الشبكة لتجنب فقدان الحزم، فعليك إما عدم دمج المسارات أو استخدام محول تكون فيه سرعة المسارات التي يتم رصدها أبطأ (مثل 100 ميجابت) من سرعة منفذ الدمج (مثل 1 جيجابت).
إذن، كيف يمكن التقاط حركة مرور الشبكة؟ أجهزة مراقبة الشبكة مقابل نسخ منافذ المحول
1- إعداد سهل: Network Tap > Port Mirror
2- تأثير أداء الشبكة: مراقبة الشبكة < نسخ المنفذ
3- إمكانية الالتقاط والنسخ والتجميع وإعادة التوجيه: مراقبة الشبكة > نسخ المنفذ
4- زمن استجابة إعادة توجيه حركة البيانات: مراقبة الشبكة < نسخ المنفذ
5- سعة المعالجة المسبقة لحركة البيانات: مراقبة الشبكة > نسخ المنفذ
تاريخ النشر: 30 مارس 2022
