小編身在資安行業上常常會遇到一個問題,Mirror或Span可用在複製流量上進行資安分析嗎?
這個問題造就了小編不少的血和淚,但如果下列敘述有誤請再留言上告知小編了,畢竟資安各領域都是一門學問。
誤區一
Q:
Mirror/Span 為什麼不能完全輸出對映Port的流量?
A:
使用者常會用一個mirror port去對應一個或多個目的地的port,即使用相同速率網孔去對應單網孔的uplink/downlink做Mirror/Span,但這時需要注意到被Mirror的Port是雙向(Full-duplex) 的傳輸,而做Mirror輸出的Port 只有單向的Egress輸出,因此當下如果網孔是1G對1G做Mirror,就是以1G 的Port去對應最大2G輸出的流量,非常有可能oversubscription而掉包。
誤區二
Q:
在平台或是管理介面上看到的流量遠低於輸出Port速率的流量,應該不會造成掉包?
A:
當在管理介面上看到的流量,是屬於統計流量是以某個單位時間內(time interval)的傳輸總量,但在某個時間單位內,如果有瞬間的大量輸出現象,超過Mirror Port的頻寬也是會掉包,只是平均起來用量不多,不能因此認定用量不多不會掉包。
當若在某些應用下,例如資安檢測、網路行為偵測、DB行為側錄,需要真實流量(True traffic),以Mirror的方式收集流量是無法滿足需求的,容易造成想像不到的資訊判讀錯誤。
誤區三
Q:
Mirror/Span 應該可以很穩定的輸出流量吧?
A:
如果在非專業的TAP上,必然都會有一種現象就是優先順序。當只要瞬間Switch或是route過度繁忙第一個就是丟棄低處理層級的封包,例如:Mirror、Span的封包,而進一步保護真實流量能被完整處理。
所以如果只是為了要做流量統計,就可以不用在意掉包的問題,如果有資安考量就最好不要使用這樣的方式。
誤區四
Q:
資安分析中如何取得網路的真實流量?
A:
必須尋找像是TAP相關的解決方式去取得流量,如果以光纖的分光器來說是用三菱鏡,一路單向的光訊號打進三菱鏡中就可以分出兩路光訊號,讓一路的光直接分送至原目的地,另外一路光就送到需要流量設備中,而網路傳輸是雙向 (光纖有2蕊,transmit/receive) ,因此一路光纖port會有兩路訊號輸出port,但此時會分別是Transmit與receive 訊號送到TA/HC上,這樣就可以保留完整網路訊號而不會有掉包現象。
誤區五
Q:
是否在網路線上多一個設備就有更多機會損壞?
A:
第一在光的TAP中大部分都是物理分光,基本上損壞的機率跟網路線的損壞機率差不多,不用過度擔心。
第二在電介面的分光器中通常會有電池備用,可以在電源損壞時穩定的進行備援方案,另外在規劃上線路本身就需要規劃第二條線路來穩定整體架構。
總結:
行行有專業當需要流量中的資料時,請用Tap收流量來保持分析的完整性。先說好小編只是痛苦並沒有在賣TAP,請不要找我感謝。
