Basic HTML Version
9
Tháng 5 6
2013
[ [
Tapping là gì
Tapping là một phương thức giám sát
lưu lượng dữ liệu được truyền và nhận
trên một kết nối trong hệ thống mạng.
Việc này có thể được tiến hành thông
qua một thiết bị chuyển mạch (switch)
để sao chép các gói tin đến cổng giám
sát (còn được gọi là “mirroring”). Hoặc
có thể dùng một thiết bị chuyên dụng để
sao chép tất cả thông tin truyền qua nó
đến thiết bị giám sát. Trong cả hai cách,
thiết bị giám sát sẽ lọc dữ liệu và gửi kết
quả đến các công cụ, phần mềm phân
tích khác nhau nhằm cung cấp thông tin
cho người quản trị hệ thống mạng.
Một câu hỏi thường được đặt ra: “Từ
‘tap’ ở đây có nghĩa là gì?”. Thật ra, bản
thân ‘tap’ không có nghĩa gì cả. Từ này
thường được hiểu với hàm ý giám sát
(“tap”–rẽ nhánh trên đường dây điện
thoại), có vai trò kết nối và giám sát
những thông tin đang được truyền qua.
Tap chủ động hay tap thụ động
Tap chủ động, đôi khi còn được gọi
là mirroring hay SPAN (Switch Port
Analysis), là tính năng sẵn có trên switch
để nhân đôi dữ liệu trên kết nối và gửi
chúng đến thiết bị giám sát. Một cổng
tap chủ động yêu cầu phải trưng dụng
một cổng trên switch để làm nhiệm vụ
tapping, đồng nghĩa với việc giảm bớt
số lượng cổng dành cho việc truyền
dữ liệu.
Tap thụ động được xem như là
“cầu nối”, dữ liệu trên kết nối không
apping
Dù“tapping”vốn là ý tưởng dành cho những ứng dụng trong
lĩnh vực giám sát với nhiệm vụ phân tích các nguy cơ về bảo
mật (tấn công DoS, hacker hay các vấn đề khác), rất nhiều nhà
quản trị đã tận dụng tapping để giám sát hiệu suất hệ thống
mạng, xác định nghẽn cổ chai và các vấn đề về hiệu suất khác.
được nhân đôi bởi switch. Thay vào đó,
tín hiệu sẽ được phân chia và truyền
đồng thời đến thiết bị nhận (destination)
và thiết bị giám sát. So với tap chủ động,
tap thụ động có 4 ưu điểm quan
trọng sau:
1.
Tap thụ động cung cấp cổng giám sát
với công suất tối đa (bao gồm cả truyền
và nhận dữ liệu). Ở tap chủ động, cổng
giám sát phải nhân đôi dữ liệu, sau đó
truyền một phần đến thiết bị nhận và
một phần đến thiết bị giám sát, do đó
công suất của cổng giám sát trên tap chủ
động phải tăng lên gấp đôi. Với những
kết nối có mật độ sử dụng lớn hơn 50%
sẽ xảy ra hiện tượng quá tải, gây mất
gói tin.
2.
Tap thụ động gần như vô hình trong
hệ thống mạng, cho phép tất cả các dữ
liệu truyền qua mà không thay đổi thời
gian của frame/gói tin, không gây tác
động hay làm giảm hiệu suất hệ thống
mạng– đây là ưu điểm mà tap chủ động
không thể đáp ứng được.
3.
Tap chủ động đòi hỏi phải thiết lập
lại cấu hình switch để định danh cổng
mirror. Việc cấu hình này có thể gây ra
lỗi, làm suy giảm hiệu suất hoặc tệ hơn
là làm sụp đổ hệ thống mạng. Với tap
thụ động, người dùng không cần lo lắng
vấn đề này, việc triển khai chỉ đơn giản
là xác định địa điểm lắp đặt, và plug-
and-play (cắm vào là chạy).
4.
Tap thụ động truyền tất cả các gói tin
trên kết nối đến cổng giám sát; trong khi
cổng mirror có thể không nhận được các
gói tin bị lỗi hoặc sai kích thước, do đó
sẽ không thể hiện được bức tranh toàn
cảnh về hệ thống mạng.
Cận cảnh về tap quang
Vậy chính xác, tap quang là gì? Còn
được gọi là “coupler” hay “splitter”,
Tap là một thiết bị thụ động với nhiệm
A
B
A
B
C ng Tap
IN
OUT
IN
OUT
B A
OUT OUT
C ng
m ng
C ng
m ng
Đư ng đ t khúc bi u th
đư ng d li u 1 chi u
Thi t b giám sát
Tap quang th đ ng