네트워크 트래픽을 분석하려면 네트워크 패킷을 NTOP/NPROBE 또는 대역 외 네트워크 보안 및 모니터링 도구로 전송해야 합니다. 이 문제에 대한 해결책은 두 가지가 있습니다.
포트 미러링(SPAN이라고도 함)
네트워크 탭(복제 탭, 집계 탭, 활성 탭, 구리 탭, 이더넷 탭 등으로도 알려져 있습니다.)
포트 미러링과 네트워크 탭 두 솔루션의 차이점을 설명하기 전에 이더넷의 작동 방식을 이해하는 것이 중요합니다. 100Mbit 이상의 속도에서는 호스트들이 일반적으로 전이중 통신을 사용합니다. 즉, 하나의 호스트가 동시에 송신(Tx)과 수신(Rx)을 할 수 있다는 뜻입니다. 따라서 100Mbit 케이블이 하나의 호스트에 연결되면, 해당 호스트가 송신/수신할 수 있는 총 네트워크 트래픽 양은 2 × 100Mbit = 200Mbit가 됩니다.
포트 미러링은 능동적인 패킷 복제 방식입니다. 즉, 네트워크 장치가 물리적으로 패킷을 미러링된 포트로 복사하는 역할을 담당합니다.
이는 장치가 CPU와 같은 리소스를 사용하여 이 작업을 수행해야 하며, 양방향 트래픽이 동일한 포트로 복제된다는 것을 의미합니다. 앞서 언급했듯이, 전이중 링크에서는 다음과 같은 의미입니다.
A -> B 및 B -> A
패킷 손실이 발생하기 전에 A의 합은 네트워크 속도를 초과할 수 없습니다. 이는 패킷을 복사할 물리적 공간이 없기 때문입니다. 포트 미러링은 많은 스위치에서 수행할 수 있는 훌륭한 기술이지만, 대부분의 스위치는 패킷 손실이라는 단점을 가지고 있습니다. 링크 부하가 50%를 초과하는 경우, 포트를 더 빠른 포트로 미러링하거나(예: 100Mbps 포트를 1Gbps 포트로 미러링) 패킷 손실을 방지할 수 있습니다. 또한 패킷 미러링은 스위치 리소스 교환을 필요로 하므로 장치에 부하가 걸리고 교환 성능이 저하될 수 있습니다. 포트 하나를 포트 하나에 연결하거나 VLAN 하나를 포트 하나에 연결할 수는 있지만, 일반적으로 여러 포트를 하나의 포트에 복사할 수는 없습니다. (따라서 패킷 미러링이 불가능합니다.)
네트워크 TAP(단말기 액세스 포인트)네트워크 TAP은 네트워크 트래픽을 수동적으로 캡처할 수 있는 완전 수동형 하드웨어 장치입니다. 일반적으로 네트워크상의 두 지점 간 트래픽을 모니터링하는 데 사용됩니다. 두 지점 사이의 네트워크가 물리적인 케이블로 구성되어 있는 경우, 네트워크 TAP은 트래픽을 캡처하는 가장 좋은 방법일 수 있습니다.
네트워크 탭에는 최소 3개의 포트(A 포트, B 포트, 모니터 포트)가 있습니다. A 지점과 B 지점 사이에 탭을 설치하려면 두 지점을 연결하는 네트워크 케이블을 한 쌍의 케이블로 교체합니다. 하나는 탭의 A 포트에, 다른 하나는 탭의 B 포트에 연결합니다. 탭은 두 네트워크 지점 사이의 모든 트래픽을 전달하므로 두 지점은 여전히 연결된 상태를 유지합니다. 또한 탭은 트래픽을 자체 모니터 포트로 복사하여 분석 장치가 트래픽을 수신할 수 있도록 합니다.
네트워크 TAP는 APS와 같은 모니터링 및 데이터 수집 장치에서 일반적으로 사용됩니다. TAP는 눈에 띄지 않고 네트워크 상에서 감지되지 않으며, 전이중 및 비공유 네트워크를 처리할 수 있고, 작동이 중단되거나 전원이 차단되더라도 트래픽을 통과시키기 때문에 보안 애플리케이션에도 활용될 수 있습니다.
네트워크 탭 포트는 수신이 아닌 송신만 하기 때문에 스위치는 해당 포트 뒤에 누가 연결되어 있는지 알 수 없습니다. 결과적으로 스위치는 모든 포트로 패킷을 브로드캐스트합니다. 따라서 모니터링 장치를 스위치에 연결하면 해당 장치는 모든 패킷을 수신하게 됩니다. 이 메커니즘은 모니터링 장치가 스위치로 패킷을 전송하지 않는 경우에만 작동합니다. 만약 패킷을 전송한다면 스위치는 탭된 패킷이 해당 장치로 향하는 것이 아니라고 판단합니다. 이를 방지하려면 송신선이 연결되지 않은 네트워크 케이블을 사용하거나, 패킷을 전혀 전송하지 않는 IP 주소(및 DHCP)가 없는 네트워크 인터페이스를 사용해야 합니다. 마지막으로, 패킷 손실을 방지하기 위해 탭을 사용하려면 포트 병합을 하지 않거나, 탭된 포트의 전송 속도가 병합 포트(예: 1Gbps)보다 느린 스위치(예: 100Mbps)를 사용해야 합니다.
그렇다면 네트워크 트래픽을 캡처하는 방법은 무엇일까요? 네트워크 탭과 스위치 포트 미러링 중 어떤 것이 더 효과적일까요?
1. 간편 설정: 네트워크 탭 > 포트 미러링
2. 네트워크 성능 영향: 네트워크 탭 < 포트 미러링
3. 캡처, 복제, 집계, 포워딩 기능: 네트워크 탭 > 포트 미러링
4. 트래픽 포워딩 지연 시간: 네트워크 탭 < 포트 미러링
5. 트래픽 사전 처리 용량: 네트워크 탭 > 포트 미러링
게시 시간: 2022년 3월 30일
