Untuk menganalisis lalu lintas jaringan, paket jaringan perlu dikirim ke NTOP/NPROBE atau Out-of-band Network Security and Monitoring Tools. Ada dua solusi untuk masalah ini:
Pencerminan Port(juga dikenal sebagai SPAN)
Ketuk Jaringan(juga dikenal sebagai Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, dll.)
Sebelum menjelaskan perbedaan antara kedua solusi (Port Mirror dan Network Tap), penting untuk memahami cara kerja Ethernet. Pada 100 Mbit dan di atasnya, host biasanya berkomunikasi dalam dupleks penuh, yang berarti bahwa satu host dapat mengirim (Tx) dan menerima (Rx) secara bersamaan. Ini berarti bahwa pada kabel 100 Mbit yang terhubung ke satu host, jumlah total lalu lintas jaringan yang dapat dikirim/diterima (Tx/Rx) oleh satu host adalah 2 × 100 Mbit = 200 Mbit.
Pencerminan port adalah replikasi paket aktif yang berarti perangkat jaringan secara fisik bertanggung jawab untuk menyalin paket ke port yang dicerminkan.
Ini berarti bahwa perangkat harus melakukan tugas ini dengan menggunakan beberapa sumber daya (seperti CPU), dan kedua arah lalu lintas akan direplikasi ke port yang sama. Seperti yang disebutkan sebelumnya, dalam tautan dupleks penuh, ini berarti bahwa
A -> B dan B -> A
Jumlah A tidak akan melampaui kecepatan jaringan sebelum packet loss terjadi. Ini karena secara fisik tidak ada ruang untuk menyalin paket. Ternyata port mirroring adalah teknik yang hebat karena dapat dilakukan oleh banyak switch (tetapi tidak semua), karena sebagian besar switch dengan kelemahan packet loss, jika Anda memantau tautan dengan beban lebih dari 50%, atau mencerminkan port ke port yang lebih cepat (misalnya port mirror 100 Mbit ke port 1 Gbit). Belum lagi bahwa packet mirroring mungkin memerlukan pertukaran sumber daya switch, yang dapat memuat perangkat dan menyebabkan kinerja pertukaran menurun. Perhatikan bahwa Anda dapat menghubungkan 1 port ke satu port, atau 1 VLAN ke satu port, tetapi Anda biasanya tidak dapat menyalin banyak port ke 1. (Jadi karena packet mirror) hilang.
Titik Akses Terminal (TAP) Jaringanadalah perangkat keras yang sepenuhnya pasif, yang dapat secara pasif menangkap lalu lintas pada suatu jaringan. Perangkat ini umumnya digunakan untuk memantau lalu lintas antara dua titik dalam jaringan. Jika jaringan antara dua titik ini terdiri dari kabel fisik, TAP jaringan mungkin merupakan cara terbaik untuk menangkap lalu lintas.
Jaringan TAP memiliki setidaknya tiga port: port A, port B, dan port monitor. Untuk menempatkan tap antara titik A dan B, kabel jaringan antara titik A dan titik B diganti dengan sepasang kabel, satu menuju port A TAP, yang lain menuju port B TAP. TAP meneruskan semua lalu lintas antara dua titik jaringan, sehingga keduanya masih terhubung satu sama lain. TAP juga menyalin lalu lintas ke port monitornya, sehingga memungkinkan perangkat analisis untuk mendengarkan.
TAP jaringan umumnya digunakan oleh perangkat pemantauan dan pengumpulan seperti APS. TAP juga dapat digunakan dalam aplikasi keamanan karena tidak mengganggu, tidak terdeteksi di jaringan, dapat menangani jaringan dupleks penuh dan non-bersama, dan biasanya akan meneruskan lalu lintas bahkan jika tap berhenti bekerja atau kehilangan daya.
Karena port Network Taps tidak menerima tetapi hanya mengirim, maka switch tidak tahu siapa yang berada di balik port tersebut. Konsekuensinya adalah ia menyiarkan paket ke semua port. Oleh karena itu, jika Anda menghubungkan perangkat pemantauan ke switch, perangkat tersebut akan menerima semua paket. Perhatikan bahwa mekanisme ini berfungsi jika perangkat pemantauan tidak mengirim paket apa pun ke switch; jika tidak, switch akan menganggap bahwa paket yang disadap bukan untuk perangkat tersebut. Untuk mencapainya, Anda dapat menggunakan kabel jaringan yang belum Anda hubungkan dengan kabel TX, atau menggunakan antarmuka jaringan tanpa IP (dan tanpa DHCP) yang tidak mengirim paket sama sekali. Terakhir, perhatikan bahwa jika Anda ingin menggunakan tap agar tidak kehilangan paket, maka jangan gabungkan arah atau gunakan switch yang arah tapnya lebih lambat (misalnya 100 Mbit) daripada port penggabungan (misalnya 1 Gbit).
Jadi, Bagaimana Cara Menangkap Lalu Lintas Jaringan? Network Taps vs Switch Ports Mirror
1- Konfigurasi mudah: Ketuk Jaringan > Port Mirror
2- Pengaruh Kinerja Jaringan: Network Tap < Port Mirror
3- Kemampuan Capture, Replikasi, Agregasi, Penerusan: Ketuk Jaringan > Port Mirror
4- Latensi Penerusan Lalu Lintas: Ketuk Jaringan < Port Mirror
5- Kapasitas Praproses Lalu Lintas: Network Tap > Port Mirror
Waktu posting: 30-Mar-2022
