- 产品简介
Throwing Star LAN Tap是一款便携的无源百兆流量复制抓包器,功能非常简单,串接在百兆电缆链路上,通过另外的两个端口把原来链路上行和下行的流量分别复制输出。由于便携和价格便宜,Throwing Star LAN Tap 得到了网络安全人员进行网络监控的广泛使用。
- 工作原理
它的工作原理如下:由于百兆电缆链路中只用了两对收发线传送数据,因此分别复制出两个方向的电信号即可导出流量进行分析,此种物理链路的监听,用户无感知。
左边是T568B的说明图,可以看作是水晶头接触点朝上的平面图。右边就是我们的重点搭线图:
A、B:A端和B端直接连接被搭线的两个网线接口。
C:C端这里可以看到是搭A、B通讯线上面的 1、2 根线 (3、6 –> 1、2)也就是C端的数据接收接口搭线到A、B通讯线上面的发送数据接口。
D:D端这里接道的根C端相反搭A、B通讯的 3、6 (1、2 –> 3、6)也就是D端的数据发送端搭线到A、B通讯线上面的数据接收端
- 千兆链路
当信号在千兆电缆链路中传输时,电缆内的4对收发线对网络两端同时传输数据;网络两端的设备因为知道自己发送的信号,因此将收到的复合信号经过调整,可以将对端发过来的信号区分出来。但由于复制电信号的方式,将同时接收所有双向传输和接受的两种信号,无法得知复合信号中两端设备发送的信号是什么,因此不能将两端信号分离出来,无法对千兆网络采用被动式监听。
Throwing Star LAN Tap主要用在监控百兆网络,当监听链路是千兆以太网时,硬件巧妙地设计了两个电容可以使千兆网络降速协商成百兆网络,从而达到监测的目的。
采用了被动采集方式,该设备会在一定程度上降低信号质量。除了上面针对千兆网络所述的情况外,这很少会导致目标网络出现问题。需要注意的是在使用很长电缆的情况下,信号衰减可能会降低网络性能影响可用性。
- 专业流量复制器
针对以上问题,通常商用场景会使用专业的流量复制器来解决。采用有源主动监测的方式,可以自适应百兆、千兆链路,也解决了信号质量衰减问题。具体介绍可参见:TAP流量复制器在网络流量采集中的应用_鸵鸟先生在长沙的博客-CSDN博客_流量复制器
参数 |
Throwing Star LAN Tap |
专业流量复制器 |
监测方式 |
无源被动式 |
有源主动式 |
监测链路 |
百兆,千兆链路降速为百兆 |
百兆、千兆自适应 |
输出方式 |
上下行分别对应输出 |
输出方式灵活,可以上下行分别输出,也可汇聚输出,可以复制输出多份流量 |
信号质量 |
有损,不宜用在长电缆场景 |
无损 |
便携性 |
无源、体积小,方便携带 |
有源,可选桌面式或者220V输入;可固定在机架上 |
BYPASS |
无源,不影响直通性 |
通过继电器,可实现掉电直通 |
报文修改 |
只能被动监测,无法修改 |
可选作为中间人,对流量完全的管控,包括插包,修改内容,设置黑白名单等 |
价格 |
成本低,价格便宜,可以手工DIY |
相对较高 |