大多数网络捕获都是使用 SPAN 端口记录的,正如我们在本系列的前一部分所看到的。现在我们知道了 SPAN 的全部内容,是时候了解 TAP 的全部内容,以及为什么您希望(或需要)在网络捕获中使用它们。TAP是“TestAccessPort”的首字母缩写词 - 它是您添加到网络中的设备,目的是让您访问正在进行的通信。
在捕获网络数据包时,没有比正确使用 TAP 更精确的方法了。是的,我的意思是 - 您可以使用TAP但捕获设置仍然错误,导致次优精度并损害您的分析结果。但在我们开始之前,让我们谈谈TAP的作用,以及如何使用它来捕获数据包。
将TAP视为插入网络电缆中的小盒子,用于访问电缆上的数据。如果你听说过“中间人”这个词——这正是TAP在物理层面上所做的。TAP的“插入”意味着您从设备中拔出一根电缆,将其插入TAP中,然后使用另一根(额外的)电缆再次将TAP连接到设备,将TAP“内联”:
图 1:将全双工 TAP 插入链路
性是生活中不可缺少的一部分。女性会阴部有2个管道,上面为尿道,下面为阴道,尿道口 很小,它 的下面就是阴道,不能强行,需要女性分泌液体将 阴道口 润滑后才可以进入,女性兴奋时即可分泌,千万不要伤害到你的伴侣。
顺便说一下,额外的电缆需要是交叉电缆,这在今天几乎变得无关紧要,因为很少有设备无法通过Auto MDI-X补偿这一点 - 所以现在直电缆在大多数情况下都可以正常工作。
基本分路器/分路器操作
因此,让我们来看看如何使用网络 TAP。如果您尝试查找 TAP,您会注意到针对不同的捕获场景有大量不同的 TAP 系列,最基本的决定是“光纤还是铜缆”——顺便说一下,光纤 TAP有时被称为“分路器”。TAP功能可能会变得非常复杂,因此如果没有一些寻找内容的经验,为捕获情况选择合适的TAP可能会很耗时。但这也是我想在这些博客文章的过程中帮助你的事情。因此,首先,让我们看看无论您使用哪种TAP类型,它们都有共同点。
网络断开连接/重新连接
TAP需要插入到物理链路中(除非我们谈论的是某些供应商为虚拟环境提供的“虚拟TAP”,但这或多或少是一个营销标签),这意味着如果您想使用TAP侦听链路上的数据包,则需要至少一个断开连接/重新连接周期。再次删除 TAP 需要再次断开链接,这实际上是我不得不每隔一段时间购买新 TAP 的主要原因——我的客户只是在分析完成后购买它们以避免删除它们
专业提示:如果您是设计或重建数据中心的网络团队的一员,请将 TAP 添加到要购买的东西列表中并从一开始就将它们放入 - 有时这是将 TAP 放入骨干链路的唯一方法,因为没有人会允许您稍后在有数据流时添加 TAP。与高端交换机和路由器的成本相比,TAP成本大多微不足道,并且在您需要进行故障排除或调查时,它们对于快速轻松地访问数据包非常有用。如果您购买可靠的品牌,则无需担心增加另一个故障点,因为它们将配备冗余电源和备用机制,以防灾难性断电。当我来到现场时,没有什么比看到专业 TAP 部署在整个网络的战略位置更能告诉我“这些网络人员是认真的”。
数据包真相
使用 TAP 是访问物理链路上实际发生的情况的唯一方法,而不会丢失数据包,甚至不会被设法渗透您网络的攻击者操纵。请记住,即使是交换机上的 SPAN 端口也可能遭到破坏并对您隐藏数据包(或者只是因为过载而丢弃它们)。操纵无源光纤全双工分路器是绝对不可能的,而对于其他分路器来说几乎是不可能的。话虽如此,我必须补充一点,有些“花哨的”TAPS具有管理界面,并且总是有可能操纵可以管理的东西。但同样:如果你选择了正确的TAP类型,没有人可以向你隐藏他们的邪恶数据包。这就是为什么熟练的攻击者试图模仿合法流量或隐藏在大量数据包中,第一次做,这样您仍然不会发现它们。,
断电行为
需要电力才能工作的 TAP(即:所有铜缆 TAP,以及一些更复杂的光纤 TAP,例如在进行链路聚合时)通常具有第 1 层回退保护,以防完全断电。您可以将其视为一个气隙开关,在断电时连接两个生产链路端口。这也是为什么当您给铜 TAP 通电时可以听到铜 TAP 发出咔嗒声的原因——这是内部的继电器激活 TAP 引擎而不是链路回退。这是它在断电时关闭时所做的,立即关闭在正常运行期间由电力保持打开的旁路电路:
图 2:TAP 断电行为
大多数 TAP 的断电响应时间不到一秒,这足以轻松保持大多数连接处于活动状态,这可能会杀死活动连接并可能触发基础设施同步过程,但至少允许在没有技术人员手动交互的情况下重新建立连接。请记住,由于断电,您将不会在捕获链路上收到更多数据包,并且恢复铜缆 TAP 的电源需要重新同步生产链路,这可能需要几秒钟。
专业提示:如果您需要将电源恢复到“暗”铜TAP的电源,请在至少5分钟的维护窗口内进行,因为您的生产链路可能关闭时间太长,某些连接无法存活。
输出链路“仅传输”
大多数TAP型号的输出链路严格“仅传输”,这意味着TAP不会接受这些链路上的任何数据包。这样,捕获设备(或您在输出链路上连接的任何设备)就无法将数据注入网络,从而扰乱常规通信:
图 3:TAP 拒绝输出链路上的传入数据包
有时,“数据包注入”功能是TAP用户想要拥有的,主要是那些认为注入重置数据包作为入侵检测系统的对策是个好主意的人(事实并非如此。如果您认为需要使用网络入侵盒阻止攻击,请改用内联 IPS。RST注射通常毫无意义)。
专业提示:检查您的TAP是否在输出链路上丢弃传入数据包。有一些供应商提供“TAP”(意思是,他们称之为 TAP),它们不会删除它们,无论是作为一项功能还是没有告诉您它。对我来说,数据包注入要么是无用的(IDS),要么是恶意的(使用精心制作的数据包的“Man on the side”/“Man in the middle”攻击)。
全双工点按
您可能已经注意到,图 1 中的 TAP 对网络流量的访问方式与使用 SPAN 端口时不同:不仅有一个聚合输出链路(如监视器端口),还有两个单独的输出。我们再看一遍:
图4:重新访问全双面打印器TAP。
如您所见,从客户端传输到交换机的数据包通过与从交换机传输到客户端的输出链路不同的 TAP 输出链路传输。这就是所谓的全双工 TAP——通信的两个方向都通过专用电缆发送到捕获设备。这意味着它需要有两个网络端口,而不仅仅是一个才能记录两个方向,这有优势,但也有代价。
全双工带宽
在单独的链路上记录传输和接收意味着您没有任何超额订阅:如果生产链路以 1Gbps 的速度运行(意味着每个方向的最大数据速率为 2Gbps、1Gbps),TAP 可以将每个输出链路 1Gbps 传输到捕获设备,从而总共提供 2Gbps。因此,除了 SPAN 端口之外,除非发生在捕获设备本身,否则不会丢弃数据包。
分配器
分路器是光纤TAP,可以在没有任何电源的情况下工作,只需使用光学元件做类似于半透明反射镜的事情。因此,如果您担心通过部署 TAP 向网络添加额外的故障点,则分路器是最终选择:
图 5:全无源光纤全双工 TAP(分路器)
现代分路器可以针对一系列物理链路速度做到这一点 - 这意味着您无需购买多个设备即可以 1Gbps 和 10Gbps 的速度捕获,但您可以使用相同的设备来完成。事实上,从技术上讲,相同的分路器可以用于更高的速度,但至少对于多模,连接器类型从 1/10Gbps 到 40/100Gbps 不同,需要不同的设备。
如果您寻找光学 TAP/分路器,您会注意到供应商通常会
要考虑的另一个属性是拆分器所需的连接器类型。有许多不同的光纤连接器,网络使用的连接器并不总是与捕获卡的端口类型相同。现在最常见的是LC连接器,取代了较旧,更笨重的SC连接器。
第一,一般来说,在第一次的时候,要多做点性爱前戏,让身心放松。在女性分泌足够的液体、足够湿润的时候再进入,进入的时候,不要着急,力度小点,动作幅度也不要太大,这样就会很容易进去了。2 第二,最好采用男上女下。
以正确的方式插入分路器有时可能是一个挑战——当您将其放入链路并检查生产电缆是否再次启动并运行时,并不一定意味着您会在捕获输出链路上收到数据包。因为根据我的经验,插入电缆是很常见的,以便光线从后面而不是前面通过镜子,所以它不会被正确镜像。如果发生这种情况,请拔下生产链路电缆并在两侧切换 RX/TX 以使其正常工作。这也意味着您需要计划至少 15 分钟的维护窗口来插入分路器,因为除了铜(插入 TAP 可以在一分钟内完成,通常只需几秒钟)之外,您可能需要时间来检查和切换电缆。永远记住:永远不要直视光纤链路来检查光线,因为激光的强度足以永久损坏您的视网膜!
如果您想知道为什么全双工分配器只有三个端口,而铜缆 TAP 有四个端口 – 分配器仅在单个物理端口上使用,以便您访问两个输出链路:
图 6:全双工 TAP 和分路器端口原理图
这意味着您只需将普通光缆用于分配器的监视端口,但您将另一端的两个连接器分开并将它们插入捕获设备的接收端口,而传输端口是“盲”的。
数据包乱序问题
对于全双工 TAP,连接的捕获设备需要有两个网络端口来接收数据包,并在捕获期间将它们聚合到数据包流中。这比听起来更棘手,因为以正确的顺序合并传入数据包并不像您想象的那么容易。很多时候,人们认为在任何两个标准网卡上同时捕获就足够了,结果会很好。但通常情况下,他们不会。问题是一台计算机中的两个网卡并不总是能够立即将传入的数据包传递到捕获过程:
图 7:使用多个 NIC 的无序捕获
如您所见,到达上层网卡的数据包比下层网卡的数据包接受得更快——如果您使用标准 PC 网卡,这种情况经常发生,因为在正常的网络操作中,数据包是否提前几微秒或纳秒到达并不重要。网络堆栈将简单地对它们进行排序,然后再将它们交付给应用程序。在捕获情况下,数据包到达捕获过程的顺序可能非常烦人:
图 8:捕获后数据包顺序不正常
如果您仔细观察数据包 2,就会发现在 SYN-ACK 之后有一个 SYN 数据包。在数据包 3 中,您将在握手完成之前和发送 GET 请求之前看到“HTTP 200 OK”数据包。某些数据包之间的增量时间为负数,告诉您它们在捕获过程中到达得太晚。如果您想知道标准网卡的时间戳是如何工作的,请查看此博客文章。
这个问题有一个修复程序,使用reordercap.exe,这是Wireshark安装的一部分:
[D:\Traces]reordercap &34; &34;12 frames,3 out of order
生成的跟踪文件如下所示:
图 9:使用 reordercap 按绝对时间戳重新排序的数据包
如果您想避免使用全双工TAP进行无序捕获,唯一可靠的方法是使用基于FPGA的专业多端口捕获卡,该卡能够合并卡内的传入数据包。基本上,这就是我使用全双工TAP进行捕获时所做的- 我有一系列捕获设备可以做到这一点,包括两个旧的Network General S6040 19“机架大小的分布式嗅探器,最多4个全双工捕获板。我们将在本系列的另一篇文章中介绍这些特殊的采集卡。
聚合 TAP
聚合 TAP 在插入链路的方式上类似于全双工 TAP:
图 10:将聚合 TAP 插入链路
与全双工TAP的区别在于,聚合TAP只有一个“聚合”输出链路,因此它更类似于SPAN端口的作用:它将链路上发送和接收的数据包合并为单个输出。这意味着单个网卡足以捕获数据包,而不必担心无序到达,因为TAP将确保数据包顺序正确。
由于它们比全双工 TAP 复杂得多,因此链路聚合 TAP 通常更昂贵,通常起价高于 1000 美元/1000 欧元。简单的全双工TAP(简单的意思:没有花哨的额外管理/LCD显示器)通常只需几百美元/欧元。
TAP 的问题
通常,TAP 为网络捕获提供最佳精度,但在某些情况下,结果可能不如应有的效果。当然,这主要涉及聚合 TAP,当聚合带宽超过监视器/输出链路带宽时。在这种情况下,您迟早将不得不忍受丢弃的数据包。一些聚合 TAP 有一个缓冲区,可以在峰值到达链路时提供帮助,但如果带宽达到最大值,缓冲区只会在这么长时间内有所帮助,接下来会出现下降。
第二个常见问题是,您有一个完美的全双工TAP设置,但您的捕获设备无法正确记录所有传入的数据包。虽然这本身不是TAP问题,但它应该是您在进行TAP捕获时要考虑的事情。
低成本 TAP
我敢打赌,有些人在阅读上一段所述的价格范围时会不同意地摇头,因为他们认为 TAP 不必那么贵。嗯,这是真的,但这取决于你想做什么。有非常便宜的全双工 TAP,您可以花几美元购买或构建,或者低于 200 美元或欧元的聚合 TAP。价格如此之低的原因是它们总是仅限于铜,通常为100MBit或更低,并且缺乏更昂贵品牌的精度和功能集。根据我的经验,他们通常
不要在电源故障时提供回退机制,将它们限制为仅捕获用户流量(当然不是数据中心的东西)
允许将数据包注入生产网络
由于将铜缆网络TAP插入生产链路会增加另一个可能发生故障的设备,因此应确保您的TAP支持断电回退。拥有两个冗余电源是个好主意,但如果存在断电回退,它并不像您想象的那么重要。
构建起来比 100MBit 铜缆 TAP 复杂得多
需要将自己的端口同步到它们所连接的两个链路,这实际上意味着第 1 层中间人方法(不可能进行真正的被动侦听)
与全双工光纤 TAP 不同,无法捕获链路自动协商信息,因为铜缆 TAP 需要协商自己的链路才能访问任何内容。
我个人自己使用/使用了以下 TAP(NetOptics 现在是 Ixia 的一部分):
NetOptics Teeny TAP 10/100 铜质全双工(微型双电源,不再使用)
NetOptics TP-CU3 10/100/1000 铜质全双工(嘈杂的双电源,有时用于数据中心)
NetOptics 96443 10/100 铜聚合 TAP(嘈杂,双电源,不再使用)
NetOptics 96042G-30 光纤全双工 1Gbps 分路器(70/30 分光比,无需电源,仅用于旧的 SC 连接器类型链路)
DATACOM FIBERtap F50/50/50-M 1005 光纤全双工 1Gbps 分路器(50/50 分光比,无需电源,仅用于旧的 SC 连接器类型链路)
加兰科技OM3702双1/10Gbps分路器(70/30分光比,无需电源,LC连接器,双TAP可同时分接两个链路)
加兰科技P1GCCA 100/1000全双工/聚合/跨度铜分接器(可通过DIP开关配置模式,安静,适合笔记本电脑和FPGA捕获)
ProfiTAP 10/100/1000 ProfiShark 1G 链路聚合铜质 TAP(USB3 输出,适用于笔记本电脑拍摄,安静,软件可配置)
我和我的团队的其他成员在使用NetOptics(iTAP 1GBit铜缆,带LCD显示屏)和较旧的DATACOM链路聚合TAP方面有非常糟糕的体验,所以我通常不再在捕获情况下使用它们。我的规则是,TAP的花里胡哨越少,它就越好。如今,我更喜欢Garland技术和ProfiTAP设备,因为它们便携,可配置,安静且可靠。我使用其中哪一个取决于捕获方案。
请参考外国电影,这里禁止发那种图片。
更新08 Feb 2017:刚刚发现Garland P1GCCA不支持10MBit/s,这意味着如果至少一个连接的设备将链接速度设置为10 MBit/s,则不会有链接。较新的加兰P1GCCAS似乎是三倍速度,支持10/100/1000,但我没有,所以我无法检查。
2018 年 4 月 2 日更新:添加了 Garland OM3702 光纤分路器,因为我厌倦了必须为旧的 SC 连接器分配器使用光纤适配器电缆。
购买 TAP/分配器
如果您要购买光纤分路器/分路器,请检查以下参数以符合您的要求:
生产链路的连接器类型(现在通常为 LC)
监视器链路的连接器和链路类型(您可以购买具有用于生产的光纤和用于监视器端口的铜缆的 TAP/分配器,反之亦然)
光纤芯 – 通常有单模和多模光纤。确保你得到正确的一个,并检查直径,也(我有几个直径为50/125微米的水龙头,而大多数是62.5/125微米。我认为大多数现代 TAP 现在都是 50 微米,但这是您的 TAP 供应商可以告诉您的)。
分光率 – 我通常选择 70/30,但我也有一些是 50/50。
如有疑问,请咨询您的分接器/分路器分销商。根据我的经验,他们非常了解他们的产品,并很乐意帮助您找到合适的产品。
部署分接器/分路器
以下是有关网络 TAP 和拆分器的一些一般个人意见和提示:
始终在部署新 TAP 之前对其进行测试。测试应至少包括测试捕获您期望使用的铜缆/光纤速度TAP 电源故障行为TAP电源恢复行为(很高兴知道TAP需要多长时间来重新建立链接以防止个人恐慌时刻,因为它不会立即发生 - 我见过有些需要长达10秒的时间)TAP 数据包注入行为
对于分路器,如果链路已投入生产,但未捕获任何通信或仅捕获单侧通信,请检查并交换光纤布线。在检查捕获是否正常工作之前,放入拆分器并让维护窗口的其余部分通过(因为“生产链接正在工作,所以一切都很好,对吧?”)也是一个常见的错误,并且可能会让您付出高昂的代价。
同样,TAP的功能越少越好 - 那些具有花哨的管理/数据包统计/ LCD显示功能的人往往比简单的全双工TAP更频繁地损坏/失败。
反对光纤全双工TAP捕获结果几乎是不可能的(除非捕获系统不够快并丢弃数据包)。这是网络上发生的事情的真相,简单明了,具有您可能获得的最高精度。
嘴,下面2个洞都可以
便宜的 TAP 或“TAP”(称某些东西为“TAP”并不一定意味着它是你期望的)几乎总是伴随着一些意想不到的惊喜,所以在冒险在关键链接中使用它们之前,请务必彻底测试它们。它们通常适用于您不关心高精度和网络稳健性的低带宽用户工作站捕获。
将全双工TAP与基于FPGA的专业捕获设备结合使用是我的首选,但并非总是可行的
确保使用不允许在捕获输出上注入数据包的 TAP。这使得处理典型的客户情况变得更加容易,即他们的员工中的某个人接近你,“嘿,你正在捕获,对吧?您正在干扰网络。因为你,我们遇到了大问题!
在将TAP放入PoE链路的情况下,应确保您的TAP可以处理此问题。我只是意识到我第一次将NetOptics TeenyTap插入100Mbit VoIP电话PoE链路,而不知道它会在我做的第二个工作中工作 - 男孩,当它没有着火时,我松了一口气
结语
在这篇文章中,我只介绍了基本的 TAP——那里有更多的 TAP 模型,我将在某个时候在另一篇文章中回到它们。
使用 TAP 执行捕获是访问网络数据包的最精确方法,在 TAP 中,没有比使用全双工无源光纤分路器更精确的了,因为它基本上为您提供了一些来自生产链路的原始“光”,没有任何延迟、修改或聚合。以下是一些典型的场景,您应该部署 TAP(s) 以获得足够精确的结果(如果此列表看起来很熟悉 - 它与SPAN 端口帖子中的相同,但当然,相反):
搜索导致数据包丢失的设备
确定确切的时序,尤其是在总端到端延迟小于 50 毫秒的情况下
证明设备连接到的链路上是否存在数据包
总体网络负载过高,无法由监控端口处理
无法承受任何类型的数据包丢弃(导致无法重建二进制有效负载)的取证调查
一旦您决定使用 TAP(正如我在本系列的SPAN 端口部分中指出的那样,在某些情况下是必需的),您就需要考虑您的捕获设备。如果要使用聚合TAP,则需要确保总带宽不超过 TAP 的输出带宽。如果您使用全双工TAP,则需要一个带有两个网卡/端口的捕获设备,并考虑数据包的无序到达。对我来说,全双工TAP总是意味着使用基于FPGA的专业采集卡。
