虹科分享|便攜式數據包捕獲解決方案的發展
有人說,未來就在眼前。如果我們看看過去十年中開發出的物聯網技術,我們的確沒發反駁他們。21世紀的技術繁榮改變了我們的生活,和彼此之間的交流方式。
比如說我們正在研究的MAREA項目,我們甚至可以說我們正在見證歷史。 這是一個從美國到西班牙的,鋪設在海底的超高速光纖網絡,擁有160Tbit / s的高速傳輸。
不幸的是,這些創新會為黑客滲透網絡開辟新的途徑。最新的勒索軟件或DDoS攻擊揭示了過去幾年中沒有的安全漏洞。
為了跟上瞬息萬變的發展并讓用戶感到安心,許多公司已經創建了一些監視和安全工具。其中,數據包捕獲解決方案是高度安全的IT基礎架構的基礎。
網絡危機會在你最不經意的時候發生,這就是為什么網絡監控的世界也必須進化。我們可以選擇一種網絡分析儀,它可以快速部署、快速捕獲您的數據包,并且即使在現場使用,也足以應對突發狀況。
諸如Profitap之類的公司創建了功能強大的便攜式TAP(例如ProfiShark系列),它們是現場數據包捕獲中最好、最快的工具之一。它們能幫助您深入網絡、分析流量并識別造成故障的數據包的理想設備。
但是我們是如何做到的呢?便攜式TAP如何強大到足以承受100%的流量,并且同時又易于在現場部署?
讓我們來看看便攜式網絡TAP是如何發展的。
便攜式全雙工TAP
最初,我們是有銅纜和光纖TAP,它們被設計為僅在數據中心環境中使用。了解有關所有類型的網絡監視工具的更多信息。
不久之后,制造商就了解現場工具的需求,所以他們創建了全雙工TAP的基本版本,并將其作為便攜式模型出售。但是,它們也只是機架安裝型號的較小版本,并且仍包含機架安裝螺釘固定器。
這種全雙工TAP(也稱為Breaking TAP)從兩個網絡端口捕獲流量,并將其復制到兩個輸出或監視端口。除了全雙工TAP本身之外,您還需要有一臺包含雙網絡接口卡(NIC)的盒式PC。除此之外,托管監視應用程序的PC還必須執行接口綁定或鏈接聚合,才能將兩個接口視為一個單一的流量。
設備以全線速捕獲了流量,并且沒有任何數據包丟失或定時延遲。因此,性能是值得肯定的,但是IT工程師仍然很難在現場采用這種“便攜式” TAP,因為他們仍然需要額外的硬件。
總而言之,便攜式TAP的第一種方法并不是真正的便攜式,因為您無法在現場攜帶隨身桌面,并且筆記本電腦上也沒有雙網卡。
便攜式聚合TAP
TAP制造商嘗試解決可移植性問題的另一種方法是引入Aggregator TAP,也稱為Aggregation TAP。這種類型的TAP設備將兩個傳入通信流合并為一個傳出通信流。這意味著只有一個監視端口也可以接收兩個網絡端口的聚合流量。
因此,這解決了用于分析的PC對雙NIC的需求。實際上,它完全刪除了盒式PC,從而使筆記本電腦可以輕松連接到TAP。雖然這實現了真正的可移植性,但是沒有實現性能。
我們都知道,網絡干線至少可以達到千兆速率(1 Gbps)。因此,無論對任何網絡干線進行故障排除,都必須將TAP與千兆位網絡端口一起放置。但是,當輸出(或監視端口)也是千兆位端口時,則不可能在1Gbps輸出上完全傳輸2Gbps的聚合流量。
因此,這會導致流量捕獲不一致。一旦網絡接口的利用率猛增到50%以上,如果此時緩沖區也飽和了,那么您的數據包將會從網橋上掉下來。如果兩個輸入網絡端口均以最大容量限制流量,則可能會丟失多達50%的總流量。
克服這個瓶頸的最佳方法是,將聚合流量傳輸到更高的數據速率輸出。對于TAP制造商來說,將10GE NIC用作便攜式TAP的輸出是不可行的。此外,筆記本電腦不具有10GE NIC,并且可能在很長一段時間不會使用。重點還是將便攜性和性能打包到一個小工具中。
先進的現場數據包捕獲工具
后來我們發布了專門開發的便攜式網絡TAP。大小袖珍且功能強大,該設備可以處理各種類型的故障排除——對于想要確保網絡穩定、可擴展性和安全性的公司而言,這是一件理想的設備。
這類先進的現場故障排除工具與之前的產品不同,因為它們具有連接能力,并且能在幾分鐘內開始捕獲數據包,無特殊要求。
它們還能夠將捕獲的數據包直接傳輸到主機計算機的磁盤。當每個數據包進入TAP時,會在硬件級別實時捕獲所有數據包,并且具有納秒級的時間戳。該時間戳允許以納秒分辨率對捕獲的流量進行實時協議分析。
我們的便攜式網絡TAP 正是為了做到這一點而設計的,它沒有使用千兆網卡作為監視端口。相反,它使用了USB 3.0,該功能可以以高達5 Gbps的速度傳輸數據。因此,它可以通過USB 3.0鏈路輕松傳輸2 Gbps的聚合流量(端口A和B各傳輸1G)。
這意味著緩沖存儲器不需要丟棄任何數據包,也不必存儲足夠長的數據包來影響其時序。此外,它還可以連接到筆記本電腦的USB端口,并具有獨特的即插即用功能,而無需依賴外部電源。
如今,便攜式捕獲設備的發展甚至比便攜式數據包中的網絡線路還遠。如今,它們可以用作長期捕獲解決方案,并且可以遠程訪問。例如,如果您將ProfiShark 1G與NAS結合使用,它的長期捕獲功能將幫助您捕獲行為中的間歇性問題。
此外,ProfiShark可以與我們自己的基于Web的網絡流量分析器ProfiSight結合使用,使您可以通過提取捕獲的數據包流中的元數據來快速查看流數據。換句話說,此數據包捕獲和分析設置提供了對重要流量的快速、完整的訪問和可視化,以便您可以解決間歇性的網絡性能問題,并確保網絡的服務質量(QoS)。
先進的便攜式TAP工具已經可以在許多情況下使用,并有望提供良好的結果。當當評估臨時的、間歇性的問題時,比如意外的協議交互(傳統的監控工具無法評估這些問題),它們可能是理想的選擇。
這些便攜式設備對于防范網絡攻擊(例如網絡釣魚或其他類型的安全威脅)非常有用。借助此類工具,網絡管理員可以按時間順序重建Web會話、電子郵件和“chat line”對話,以便調查安全事件并進行準確的取證分析。
最后,關于便攜式網絡TAP的最令人興奮的事實也許就是我們才剛剛上路。現場網絡監控的無限可能正在等待著我們!
