虹科分享|便携式数据包捕获解决方案的发展
有人说,未来就在眼前。如果我们看看过去十年中开发出的物联网技术,我们的确没发反驳他们。21世纪的技术繁荣改变了我们的生活,和彼此之间的交流方式。
比如说我们正在研究的MAREA项目,我们甚至可以说我们正在见证历史。 这是一个从美国到西班牙的,铺设在海底的超高速光纤网络,拥有160Tbit / s的高速传输。
不幸的是,这些创新会为黑客渗透网络开辟新的途径。最新的勒索软件或DDoS攻击揭示了过去几年中没有的安全漏洞。
为了跟上瞬息万变的发展并让用户感到安心,许多公司已经创建了一些监视和安全工具。其中,数据包捕获解决方案是高度安全的IT基础架构的基础。
网络危机会在你最不经意的时候发生,这就是为什么网络监控的世界也必须进化。我们可以选择一种网络分析仪,它可以快速部署、快速捕获您的数据包,并且即使在现场使用,也足以应对突发状况。
诸如Profitap之类的公司创建了功能强大的便携式TAP(例如ProfiShark系列),它们是现场数据包捕获中最好、最快的工具之一。它们能帮助您深入网络、分析流量并识别造成故障的数据包的理想设备。
但是我们是如何做到的呢?便携式TAP如何强大到足以承受100%的流量,并且同时又易于在现场部署?
让我们来看看便携式网络TAP是如何发展的。
便携式全双工TAP
最初,我们是有铜缆和光纤TAP,它们被设计为仅在数据中心环境中使用。了解有关所有类型的网络监视工具的更多信息。
不久之后,制造商就了解现场工具的需求,所以他们创建了全双工TAP的基本版本,并将其作为便携式模型出售。但是,它们也只是机架安装型号的较小版本,并且仍包含机架安装螺钉固定器。
这种全双工TAP(也称为Breaking TAP)从两个网络端口捕获流量,并将其复制到两个输出或监视端口。除了全双工TAP本身之外,您还需要有一台包含双网络接口卡(NIC)的盒式PC。除此之外,托管监视应用程序的PC还必须执行接口绑定或链接聚合,才能将两个接口视为一个单一的流量。
设备以全线速捕获了流量,并且没有任何数据包丢失或定时延迟。因此,性能是值得肯定的,但是IT工程师仍然很难在现场采用这种“便携式” TAP,因为他们仍然需要额外的硬件。
总而言之,便携式TAP的第一种方法并不是真正的便携式,因为您无法在现场携带随身桌面,并且笔记本电脑上也没有双网卡。
便携式聚合TAP
TAP制造商尝试解决可移植性问题的另一种方法是引入Aggregator TAP,也称为Aggregation TAP。这种类型的TAP设备将两个传入通信流合并为一个传出通信流。这意味着只有一个监视端口也可以接收两个网络端口的聚合流量。
因此,这解决了用于分析的PC对双NIC的需求。实际上,它完全删除了盒式PC,从而使笔记本电脑可以轻松连接到TAP。虽然这实现了真正的可移植性,但是没有实现性能。
我们都知道,网络干线至少可以达到千兆速率(1 Gbps)。因此,无论对任何网络干线进行故障排除,都必须将TAP与千兆位网络端口一起放置。但是,当输出(或监视端口)也是千兆位端口时,则不可能在1Gbps输出上完全传输2Gbps的聚合流量。
因此,这会导致流量捕获不一致。一旦网络接口的利用率猛增到50%以上,如果此时缓冲区也饱和了,那么您的数据包将会从网桥上掉下来。如果两个输入网络端口均以最大容量限制流量,则可能会丢失多达50%的总流量。
克服这个瓶颈的最佳方法是,将聚合流量传输到更高的数据速率输出。对于TAP制造商来说,将10GE NIC用作便携式TAP的输出是不可行的。此外,笔记本电脑不具有10GE NIC,并且可能在很长一段时间不会使用。重点还是将便携性和性能打包到一个小工具中。
先进的现场数据包捕获工具
后来我们发布了专门开发的便携式网络TAP。大小袖珍且功能强大,该设备可以处理各种类型的故障排除——对于想要确保网络稳定、可扩展性和安全性的公司而言,这是一件理想的设备。
这类先进的现场故障排除工具与之前的产品不同,因为它们具有连接能力,并且能在几分钟内开始捕获数据包,无特殊要求。
它们还能够将捕获的数据包直接传输到主机计算机的磁盘。当每个数据包进入TAP时,会在硬件级别实时捕获所有数据包,并且具有纳秒级的时间戳。该时间戳允许以纳秒分辨率对捕获的流量进行实时协议分析。
我们的便携式网络TAP 正是为了做到这一点而设计的,它没有使用千兆网卡作为监视端口。相反,它使用了USB 3.0,该功能可以以高达5 Gbps的速度传输数据。因此,它可以通过USB 3.0链路轻松传输2 Gbps的聚合流量(端口A和B各传输1G)。
这意味着缓冲存储器不需要丢弃任何数据包,也不必存储足够长的数据包来影响其时序。此外,它还可以连接到笔记本电脑的USB端口,并具有独特的即插即用功能,而无需依赖外部电源。
如今,便携式捕获设备的发展甚至比便携式数据包中的网络线路还远。如今,它们可以用作长期捕获解决方案,并且可以远程访问。例如,如果您将ProfiShark 1G与NAS结合使用,它的长期捕获功能将帮助您捕获行为中的间歇性问题。
此外,ProfiShark可以与我们自己的基于Web的网络流量分析器ProfiSight结合使用,使您可以通过提取捕获的数据包流中的元数据来快速查看流数据。换句话说,此数据包捕获和分析设置提供了对重要流量的快速、完整的访问和可视化,以便您可以解决间歇性的网络性能问题,并确保网络的服务质量(QoS)。
先进的便携式TAP工具已经可以在许多情况下使用,并有望提供良好的结果。当当评估临时的、间歇性的问题时,比如意外的协议交互(传统的监控工具无法评估这些问题),它们可能是理想的选择。
这些便携式设备对于防范网络攻击(例如网络钓鱼或其他类型的安全威胁)非常有用。借助此类工具,网络管理员可以按时间顺序重建Web会话、电子邮件和“chat line”对话,以便调查安全事件并进行准确的取证分析。
最后,关于便携式网络TAP的最令人兴奋的事实也许就是我们才刚刚上路。现场网络监控的无限可能正在等待着我们!
