包捕获是解决网络故障和保护网络免受网络威胁的终极工具。与高级安全性和监视工具一样重要的是,有两个主要原因使它们能够利用数据包捕获最佳实践尽可能有效地进行事件响应和根本原因分析。
首先,如果没有强大的数据包捕获功能,安全和监视工具就无法获得您的网络活动的完整视图。如果没有包的100%可见性,您的工具就无法获得足够的有关活动的详细信息,从而无法准确地识别问题发生的时间或告诉您问题发生的位置。
其次,数据包捕获中的漏洞限制了您可以收集的历史数据的数量,使得理解网络事件变得困难。例如,对数据泄露做出反应,不仅仅是减轻迫在眉睫的威胁。它还涉及在事件发生后应用数字取证,以了解发生了什么,您的网络是如何被利用的,以及攻击者能够破坏什么。如果没有数据包捕获最佳实践,您将无法实现准确的取证。
最终,关于网络的真相存在于数据包中。仅仅因为你有了NetFlow摘要并不意味着你有了深入的根本原因分析或安全事件重建所必需的全貌。尽管这是一个简单的概念,但许多网络团队在数据包捕获方面做得不够。
这就是为什么我们要回归基本。为了最大化您的网络可见性并最大限度地利用安全性和监视工具,您需要基于数据包捕获最佳实践。
数据包的两端捕获最佳实践
根据定义,数据包捕获指的是对穿越或移动到计算机网络特定部分的数据包的实时拦截。要有效地做到这一点,需要您理解两个不同类别的基础知识——网络端和捕获端。
抓包的网络基础知识
执行数据包捕获并不一定很难。然而,以太网通信的发展使它比以前更加复杂。与第2层网络协议和集线器的时代相比,基于交换机的网络上的包捕获并不简单。
交换机允许网络设备同时发送和接收数据包。这种全双工通信使得保持可见性很困难,因为信息包被直接发送到它们的目的地,绕过了不是直接在两个正在通信的节点之间的信息包捕获设备。
更复杂的是,并不是所有的设备都以全双工模式通信。您还拥有以半双工模式通信的设备,这可能导致不匹配,从而导致冲突和最小吞吐量。
将自己设置为数据包捕获最佳实践意味着将以太网链接的速度与捕获设备的带宽和吞吐量匹配。例如,仅仅因为您有一个1Gbps的全双工捕获设备,并不意味着您可以正确地从一个完全饱和的1Gbps的全双工链路收集数据。由于全双工链路发送和接收数据包,在考虑数据包捕获场景时,必须考虑2Gbps的总带宽。
当以太网速度、带宽、吞吐量和捕获能力不匹配时,就有丢失数据包的风险。处理丢失的数据包意味着限制了网络可见性,降低了关键安全和监控设备的有效性。
因此,一旦您了解了网络中链路的速度和双工模式,就可以开始考虑哪种捕获设备最适合您的可见性需求。
>> Now Download: Network TAPs 101[免费电子书]
捕获网络可见性的基础知识
有各种各样的工具和技术可以用于数据包捕获,而且实际上并没有很多固定的规则可以成功。您的具体需求将取决于您独特的网络设计和业务需求。
然而,在计划数据包捕获方法时,仍然需要考虑一些基本设备。三种主要的选择是:
- 网卡:这些设备可以计算网络校验和,将大型数据集分离成适合物理网络的大小,并合并数据包以实现更有效的传输。问题是,当目的地不匹配MAC地址或校验和被破坏时,网卡将丢弃帧。您可以升级到专业网卡,但它们仍然不是专门为数据包捕获设计的。有些网卡不抓取VLAN tag,对帧大小有严格的要求,在抓取过程中卸载某些数据包,乱序显示数据包。
- 跨端口:基于交换机的网络的兴起伴随着跨端口功能。交换机端口分析器(SPAN)提供端口镜像,它承诺将一个端口(或整个VLAN)上的所有网络数据包复制到另一个端口。但是,跨端口可能会造成带宽瓶颈,并给交换机CPU造成压力,同时,有时在数据包捕获方面提供的精度不够,这在高带宽环境中或需要确定数据包丢失的位置时无法工作。
- 网络利用这些是硬件工具,允许您访问和监控您的网络通过捕获发送和接收数据流同时在单独的专用通道。这确保了所有数据都能实时到达监控或安全设备。因为点击不会改变帧的时间关系,所以它们可以让您对网络中的数据包真相有一个完整的了解,而不会受到跨端口所面临的相同的带宽和吞吐量问题的困扰。
分析:数据包捕获后如何处理它们
捕获包之后,它们将被临时存储,以供其他工具或网络管理员分析。通过比较一段时间内从网络中同一点捕获的数据包,可以确定并观察正常行为,从而更容易识别偏离基线的情况。
结合网络分析仪与全包捕获可以帮助您执行关键任务,如:
- 主动识别安全威胁
- 网络行为异常处理
- 发现可能阻碍网络性能的拥塞
- 检测网络中数据包丢失的区域
- 在保安事故发生后进行法证分析以收集资料
这些分析器通常称为网络或包嗅探器,它们拦截流经网络的数据,并从捕获设备收集数据。网络嗅探工具记录数据包,解码这些数据包并将它们格式化以供管理视图,分析通信中的错误,并为您提供必要的信息以排除网络连接故障。
Wireshark是目前最流行的网络分析工具。这个免费的开源软件提供了一种查看数据包和用于传输数据包的协议的简单方法。最终,Wireshark可以很容易地看到哪种流量进出你的网络,你的网络流量的大小,以及存在多少延迟。在大多数情况下,您将在Wireshark中分析TCP、UDP和ICMP包。
当您将自己设置为完整数据包捕获时,您需要一些工具来帮助您筛选所有这些数据并找到有助于支持性能和安全性任务的信息。Wireshark和其他网络分析工具允许你搜索数据包数据来发现异常行为。
这里讨论的包捕获基础知识——从网络元素到捕获设备和分析器工具——只涉及到有效监视网络所需要的东西的表面。
希望为部署添加包捕获可见性,但不确定从哪里开始?加入我们的简短网络设计咨询或演示。没有义务,这是我们喜欢做的。
