现在的网络几乎全部都采用交换技术,所以在获取数据包进行网络分析时,我们常用的方法有以下三种:HUB、SPAN和TAP。本文将简单介绍这三种方法的优缺点。
HUB 有朋友认为这很“弱智”,但这种方法却是最早的数据包获取方法。HUB是半双工的以太网设备,在广播数据包时,无法同时进行反方向的数据流传输。而且,HUB一般只有百兆接口,随着用户网络速率提升至千兆平台,2000年以后就逐步遭到了淘汰。
优点:实现简单
缺点:1.降低链路一半以上的带宽;2.导致错误冲突;3.无千兆方案;4.潜在网络故障点。
SPAN 这是交换机本身就提供的一种功能,所以只要在交换机上进行配置就可以了。但是这一功能会影响交换机的性能,当数据过载时还会造成数据包的丢失,除此之外,一般的设备只有两个SPAN口,无法同时满足多个需求。
优点:免费,无需额外投资
缺点:1.丢包问题(Span端口在交换机里的路由层级为低优先权;全双工监测通常无法实现;不能监测OSI第1.2层错误包);2.对于避免网络攻击的隐蔽性有限;3.潜在网络故障点。
TAP 是Test Access Point的首字母缩写,是目前较流行的一种网络数据获取方法。即便是TAP电源掉电也不会中断网络连接,可提供全面可视的网络数据流,对全线速的双向会话进行准确无误的监测,并且无丢包和延迟。