在这个由两部分组成的关于如何对网络进行故障排除的系列文章中,第1部分侧重于您将面临的最常见的挑战——连接、性能和延迟故障排除场景。在一个完美的世界里,这些将是你所面临的最困难的网络问题。但现实情况是,在过去十年中,故障排除变得越来越复杂。现在,网络速度比以往任何时候都快,你处理的数据呈指数级增长,网络威胁也变得越来越复杂。因此,找到网络问题的根本原因和解决方案比以往任何时候都要困难。这就是网络取证发挥作用的地方。在本系列的第2部分中,体育博彩平台推荐将重点讨论网络取证在解决性能和安全问题中的作用,以及如何在这些工具本身出现问题时进行故障排除。
网络取证故障处理场景
网络取证分析工具(nfat)在排除业务中更高级的问题方面发挥着重要作用。它们使您能够捕获、记录和分析网络数据包,从而发现问题的根源。网络取证的主要用例是在网络安全领域,其中nfat允许您识别事件、保存相关记录、收集必要的数字证据、检查模式、分析攻击和响应事件。但是,您可以利用nfat的关键功能(包括数据捕获、数据发现和分析)来排除间歇性性能问题、监视策略遵从性、识别数据泄漏等等。您可以使用各种各样的nfat来解决网络中的问题。一些比较常见的包括:
- Wireshark:免费的开源数据包分析器,最常用于协议分析。
- Xplico:另一个开源工具,可以重建数据包嗅探器(如Wireshark或dumpcap)收集的数据内容。
- NetworkMiner:这个NFAT可以用作被动数据包嗅探器,并且可以轻松地进行高级分析,重点关注主机及其属性,而不是原始数据包。
问题在于,当您依靠nfat来捕获、存储和分析网络事件时,您假定了一件事—这些工具对您的流量具有100%的可见性。当您看到有证据表明您的网络已被破坏,但您的nfat没有报告任何问题时,会发生什么情况?这时,您必须通过手动查看遇到问题的主机系统来开始对网络取证进行故障排除。考虑一个主机系统被rootkit系统破坏的潜在场景。攻击者通过操纵主机系统和用户之间发送的数据来绕过nfat。这就是将链接上的数据与活动预期进行比较的关键所在。早在出现故障排除场景之前,您就应该为您的网络创建流量行为的基线。然后,当您的网络取证工具出现问题时,您可以手动点击有问题的链接,以获得一个干净、公正的活动视图。通过将链路上的数据包与基线期望进行比较,您可以确定nfat由于rootkit而无法识别的问题。无论您面临的具体问题是什么,对网络取证进行故障排除的关键是在最低级别分析数据包。信息包不会说谎。即使您依靠nfat来记录数据包,如果没有适当的可见性,它们也无法有效地完成这项工作。这就是为什么排除数字取证问题最强大的工具是网络TAP。
现在下载:TAP vs SPAN[白皮书]
您需要什么来排除网络取证
如果您有一个网络取证问题需要进行故障排除,那就意味着您手头有一个数据包捕获问题。当网络取证工具出现故障时,您没有时间浪费在寻找根本原因上。当你知道存在网络取证问题时,你的公司很可能正面临网络攻击,而你做出反应的每一秒都很重要。
网络监听让你有能力100%捕获交通在不中断数据流的情况下,对链路进行实时分析。在理想情况下,tap应该已经内置到您的网络设计结构中,您可以随时深入研究网络取证问题。然而,有时你会在尚未被点击的链接上遇到问题。
这就是为什么便携式网络TAP是任何现场测试监控和故障排除套件的重要组成部分。对于需要快速排除网络取证问题的现场工程师来说,拥有一个高效的TAP非常重要,它可以使分析仪正确检查100%的数据包。
这就是为什么新的FieldTAP, 10M/100M或10M/100M/1G现场测试监控的理想选择,这些口袋大小的便携式网络tap使您可以轻松地点击有问题的链接,检查互联网连接,网络连接和更深的问题与您的nfat。fieldtap最有帮助的关键场景之一是当Wireshark用户遇到问题时。当您需要解决Wireshark的问题时,您可以快速连接FieldTAP,直接从线路上收集数据包,从而有效地识别问题。这对于任何其他网络分析器或专用取证工具同样有用。可见性从数据包级别开始。当您遇到取证问题时,您需要一个专用的、非侵入性的硬件设备来复制所有网络数据,以便您能够真正了解问题。为了帮助您做到这一点,体育博彩平台推荐的fieldtap包括以下关键特性:
- 收集全双工1G流量的能力
- USB 3.0监控
- 网络聚合
- 可在一个包大小的迷你或便携式形式因素与1U机架安装
- USB2/USB3供电或外接电源
从常见的故障排除场景到更紧急、更高级的网络取证问题,FieldTAPs为您提供了可靠地查看网络活动的有效方法。如果您想将它们添加到您的故障排除工具包中,请体育博彩平台推荐体育博彩平台推荐并告诉体育博彩平台推荐您的需求。
