数据包捕获是排除网络故障和保护网络免受网络威胁的终极工具。与您的高级安全和监视工具一样重要的是,有两个主要原因可以解释为什么它们通过数据包捕获最佳实践使事件响应和根本原因分析尽可能高效。首先,如果没有强大的数据包捕获功能,安全和监控工具就无法获得网络活动的完整视图。如果没有100%的数据包可见性,您的工具就无法获得有关活动的足够详细信息,从而无法准确识别问题发生的时间或告诉您问题发生的位置。
其次,数据包捕获中的间隙限制了您可以收集的历史数据的数量,从而使理解网络事件变得困难。例如,应对数据泄露不仅仅是减轻眼前的威胁。它还涉及在事件发生后应用数字取证来了解发生了什么,您的网络是如何被利用的,以及哪些攻击者能够妥协。没有包捕获最佳实践,您将无法实现准确的取证。最终,关于网络的真相存在于数据包中。仅仅因为您有NetFlow摘要并不意味着您拥有深入的根本原因分析或安全事件重建所必需的全貌。尽管这是一个简单的概念,但许多网络团队在数据包捕获方面都做得不够。这就是为什么体育博彩平台推荐必须回归基本。为了最大限度地提高网络可见性并充分利用安全和监视工具,您需要了解数据包捕获最佳实践的基础。
包捕获最佳实践的两个方面
根据定义,数据包捕获指的是实时拦截穿过或移动在计算机网络的特定部分的数据包。要有效地做到这一点,需要了解两个不同类别的基础知识——网络端和捕获端。
抓包的网络基础
执行包捕获并不一定困难。然而,以太网流量的发展使它比以前更加复杂。与第二层网络协议和集线器的时代相比,基于交换机的网络上的数据包捕获并不简单。交换机允许网络设备同时发送和接收数据包。这种全双工流量很难保持可见性,因为数据包直接发送到它们的目的地,绕过不直接位于两个通信节点之间的数据包捕获设备。使问题进一步复杂化的是,并非所有设备都以全双工模式通信。您还有以半双工模式通信的设备,这可能导致不匹配,从而导致冲突和最小的吞吐量。为自己设置数据包捕获最佳实践意味着将以太网链路的速度与捕获设备的带宽和吞吐量能力相匹配。例如,仅仅因为您有1Gbps全双工捕获设备并不意味着您可以从完全饱和的1Gbps全双工链路上正确地收集数据。由于全双工链路发送和接收数据包,因此在考虑抓包场景时必须考虑2Gbps的总带宽。当您的以太网速度、带宽、吞吐量和捕获能力不匹配时,您就有丢包的风险。处理丢弃的数据包意味着限制了网络可见性,降低了关键安全和监控设备的有效性。因此,一旦您了解了网络中链路的速度和双工模式,您就可以开始考虑哪种捕获设备最适合您的可见性需求。
>>现在下载:网络水龙头101[免费电子书]
捕获基础的网络可见性
有各种各样的工具和技术可以用于数据包捕获,而现实情况是,没有多少成功的硬性规则。您的具体需求将取决于您独特的网络设计和业务需求。但是,在规划数据包捕获方法时,仍然应该考虑一些基本设备。三个主要的选择是:
- 网卡:这些设备可以计算网络校验和,将大型数据集分成适合物理网络的大小,并合并数据包以提高传输效率。问题是,当目的地与MAC地址不匹配或校验和被破坏时,网卡将丢弃帧。您可以升级到专业的网卡,但它们仍然不是专门为数据包捕获设计的。有些网卡不会捕获VLAN标签,对帧大小有严格的要求,在捕获过程中卸载某些数据包,并显示数据包无序。
- SPAN端口:基于交换机的网络的兴起伴随着SPAN端口的特性。交换机端口分析器(SPAN)提供端口镜像,它承诺将一个端口(或整个VLAN)上的所有网络数据包复制到另一个端口。然而,SPAN端口可能会造成带宽瓶颈,并给交换机CPU带来压力,同时,有时,在数据包捕获中提供的精度不够,这在高带宽环境中无法工作,或者当您需要查明数据包丢失的位置时。
- 网络监听:这些硬件工具允许您通过在单独的专用通道上同时捕获发送和接收数据流来访问和监控您的网络。这确保了所有数据实时到达监控或安全设备。因为tap不会改变帧之间的时间关系,所以它们可以为您提供整个网络中数据包真实情况的完整图像,而不会受到SPAN端口所面临的带宽和吞吐量问题的困扰。
分析:一旦数据包被捕获,该如何处理
捕获数据包后,它们将被临时存储,以供其他工具或网络管理员分析。通过比较从网络中同一点捕获的数据包随时间的变化,您可以确定和观察正常行为,从而更容易识别与基线的偏差。将网络分析器与完整数据包捕获相结合可以帮助您执行关键任务,例如:
- 主动识别安全威胁
- 处理网络行为异常
- 发现可能影响网络性能的拥塞
- 通过网络检测丢包区域
- 在安全事件发生后进行法医分析以收集信息
这些分析器通常被称为网络或数据包嗅探器,它们拦截流经网络的数据并从捕获设备收集数据。网络嗅探器工具记录数据包,解码这些数据包并将其格式化以供管理查看,分析通信中的错误,并为您提供排除网络连接故障所需的信息。Wireshark是目前最流行的网络分析工具。这个免费的开源软件提供了一种简单的方法来查看数据包和用于传输它们的协议。最终,Wireshark可以很容易地看到什么样的流量进入和流出你的网络,你的网络上的流量,有多少延迟存在。在大多数情况下,您将在Wireshark中分析TCP, UDP和ICMP报文。当您准备进行完整的数据包捕获时,您需要工具来帮助您筛选所有这些数据,并找到有助于支持性能和安全任务的信息。Wireshark和其他网络分析工具允许您搜索数据包数据以发现异常行为。本文介绍的包捕获基础知识(从网络元素到捕获设备和分析工具)仅触及有效监视网络所需的皮毛。希望在部署中添加数据包捕获可见性,但不确定从哪里开始?加入体育博彩平台推荐,参加一个简短的网络Design-IT咨询或演示。没有义务——这是体育博彩平台推荐喜欢做的。
