虹科分享|便攜式數(shù)據(jù)包捕獲解決方案的發(fā)展

有人說，未來就在眼前。如果我們看看過去十年中開發(fā)出的物聯(lián)網(wǎng)技術(shù)，我們的確沒發(fā)反駁他們。21世紀(jì)的技術(shù)繁榮改變了我們的生活，和彼此之間的交流方式。

比如說我們正在研究的MAREA項目，我們甚至可以說我們正在見證歷史。 這是一個從美國到西班牙的，鋪設(shè)在海底的超高速光纖網(wǎng)絡(luò)，擁有160Tbit / s的高速傳輸。

不幸的是，這些創(chuàng)新會為黑客滲透網(wǎng)絡(luò)開辟新的途徑。最新的勒索軟件或DDoS攻擊揭示了過去幾年中沒有的安全漏洞。

為了跟上瞬息萬變的發(fā)展并讓用戶感到安心，許多公司已經(jīng)創(chuàng)建了一些監(jiān)視和安全工具。其中，數(shù)據(jù)包捕獲解決方案是高度安全的IT基礎(chǔ)架構(gòu)的基礎(chǔ)。

網(wǎng)絡(luò)危機(jī)會在你最不經(jīng)意的時候發(fā)生，這就是為什么網(wǎng)絡(luò)監(jiān)控的世界也必須進(jìn)化。我們可以選擇一種網(wǎng)絡(luò)分析儀，它可以快速部署、快速捕獲您的數(shù)據(jù)包，并且即使在現(xiàn)場使用，也足以應(yīng)對突發(fā)狀況。

諸如Profitap之類的公司創(chuàng)建了功能強大的便攜式TAP（例如ProfiShark系列），它們是現(xiàn)場數(shù)據(jù)包捕獲中最好、最快的工具之一。它們能幫助您深入網(wǎng)絡(luò)、分析流量并識別造成故障的數(shù)據(jù)包的理想設(shè)備。

但是我們是如何做到的呢？便攜式TAP如何強大到足以承受100％的流量，并且同時又易于在現(xiàn)場部署？

讓我們來看看便攜式網(wǎng)絡(luò)TAP是如何發(fā)展的。

便攜式全雙工TAP

最初，我們是有銅纜和光纖TAP，它們被設(shè)計為僅在數(shù)據(jù)中心環(huán)境中使用。了解有關(guān)所有類型的網(wǎng)絡(luò)監(jiān)視工具的更多信息。

不久之后，制造商就了解現(xiàn)場工具的需求，所以他們創(chuàng)建了全雙工TAP的基本版本，并將其作為便攜式模型出售。但是，它們也只是機(jī)架安裝型號的較小版本，并且仍包含機(jī)架安裝螺釘固定器。

這種全雙工TAP（也稱為Breaking TAP）從兩個網(wǎng)絡(luò)端口捕獲流量，并將其復(fù)制到兩個輸出或監(jiān)視端口。除了全雙工TAP本身之外，您還需要有一臺包含雙網(wǎng)絡(luò)接口卡（NIC）的盒式PC。除此之外，托管監(jiān)視應(yīng)用程序的PC還必須執(zhí)行接口綁定或鏈接聚合，才能將兩個接口視為一個單一的流量。

設(shè)備以全線速捕獲了流量，并且沒有任何數(shù)據(jù)包丟失或定時延遲。因此，性能是值得肯定的，但是IT工程師仍然很難在現(xiàn)場采用這種“便攜式” TAP，因為他們?nèi)匀恍枰~外的硬件。

總而言之，便攜式TAP的第一種方法并不是真正的便攜式，因為您無法在現(xiàn)場攜帶隨身桌面，并且筆記本電腦上也沒有雙網(wǎng)卡。

便攜式聚合TAP

TAP制造商嘗試解決可移植性問題的另一種方法是引入Aggregator TAP，也稱為Aggregation TAP。這種類型的TAP設(shè)備將兩個傳入通信流合并為一個傳出通信流。這意味著只有一個監(jiān)視端口也可以接收兩個網(wǎng)絡(luò)端口的聚合流量。

因此，這解決了用于分析的PC對雙NIC的需求。實際上，它完全刪除了盒式PC，從而使筆記本電腦可以輕松連接到TAP。雖然這實現(xiàn)了真正的可移植性，但是沒有實現(xiàn)性能。

我們都知道，網(wǎng)絡(luò)干線至少可以達(dá)到千兆速率（1 Gbps）。因此，無論對任何網(wǎng)絡(luò)干線進(jìn)行故障排除，都必須將TAP與千兆位網(wǎng)絡(luò)端口一起放置。但是，當(dāng)輸出（或監(jiān)視端口）也是千兆位端口時，則不可能在1Gbps輸出上完全傳輸2Gbps的聚合流量。

因此，這會導(dǎo)致流量捕獲不一致。一旦網(wǎng)絡(luò)接口的利用率猛增到50％以上，如果此時緩沖區(qū)也飽和了，那么您的數(shù)據(jù)包將會從網(wǎng)橋上掉下來。如果兩個輸入網(wǎng)絡(luò)端口均以最大容量限制流量，則可能會丟失多達(dá)50％的總流量。

克服這個瓶頸的最佳方法是，將聚合流量傳輸?shù)礁叩臄?shù)據(jù)速率輸出。對于TAP制造商來說，將10GE NIC用作便攜式TAP的輸出是不可行的。此外，筆記本電腦不具有10GE NIC，并且可能在很長一段時間不會使用。重點還是將便攜性和性能打包到一個小工具中。

先進(jìn)的現(xiàn)場數(shù)據(jù)包捕獲工具

后來我們發(fā)布了專門開發(fā)的便攜式網(wǎng)絡(luò)TAP。大小袖珍且功能強大，該設(shè)備可以處理各種類型的故障排除——對于想要確保網(wǎng)絡(luò)穩(wěn)定、可擴(kuò)展性和安全性的公司而言，這是一件理想的設(shè)備。

這類先進(jìn)的現(xiàn)場故障排除工具與之前的產(chǎn)品不同，因為它們具有連接能力，并且能在幾分鐘內(nèi)開始捕獲數(shù)據(jù)包，無特殊要求。

它們還能夠?qū)⒉东@的數(shù)據(jù)包直接傳輸?shù)街鳈C(jī)計算機(jī)的磁盤。當(dāng)每個數(shù)據(jù)包進(jìn)入TAP時，會在硬件級別實時捕獲所有數(shù)據(jù)包，并且具有納秒級的時間戳。該時間戳允許以納秒分辨率對捕獲的流量進(jìn)行實時協(xié)議分析。

我們的便攜式網(wǎng)絡(luò)TAP 正是為了做到這一點而設(shè)計的，它沒有使用千兆網(wǎng)卡作為監(jiān)視端口。相反，它使用了USB 3.0，該功能可以以高達(dá)5 Gbps的速度傳輸數(shù)據(jù)。因此，它可以通過USB 3.0鏈路輕松傳輸2 Gbps的聚合流量（端口A和B各傳輸1G）。

這意味著緩沖存儲器不需要丟棄任何數(shù)據(jù)包，也不必存儲足夠長的數(shù)據(jù)包來影響其時序。此外，它還可以連接到筆記本電腦的USB端口，并具有獨特的即插即用功能，而無需依賴外部電源。

如今，便攜式捕獲設(shè)備的發(fā)展甚至比便攜式數(shù)據(jù)包中的網(wǎng)絡(luò)線路還遠(yuǎn)。如今，它們可以用作長期捕獲解決方案，并且可以遠(yuǎn)程訪問。例如，如果您將ProfiShark 1G與NAS結(jié)合使用，它的長期捕獲功能將幫助您捕獲行為中的間歇性問題。

此外，ProfiShark可以與我們自己的基于Web的網(wǎng)絡(luò)流量分析器ProfiSight結(jié)合使用，使您可以通過提取捕獲的數(shù)據(jù)包流中的元數(shù)據(jù)來快速查看流數(shù)據(jù)。換句話說，此數(shù)據(jù)包捕獲和分析設(shè)置提供了對重要流量的快速、完整的訪問和可視化，以便您可以解決間歇性的網(wǎng)絡(luò)性能問題，并確保網(wǎng)絡(luò)的服務(wù)質(zhì)量（QoS）。

先進(jìn)的便攜式TAP工具已經(jīng)可以在許多情況下使用，并有望提供良好的結(jié)果。當(dāng)當(dāng)評估臨時的、間歇性的問題時，比如意外的協(xié)議交互（傳統(tǒng)的監(jiān)控工具無法評估這些問題），它們可能是理想的選擇。

這些便攜式設(shè)備對于防范網(wǎng)絡(luò)攻擊（例如網(wǎng)絡(luò)釣魚或其他類型的安全威脅）非常有用。借助此類工具，網(wǎng)絡(luò)管理員可以按時間順序重建Web會話、電子郵件和“chat line”對話，以便調(diào)查安全事件并進(jìn)行準(zhǔn)確的取證分析。

最后，關(guān)于便攜式網(wǎng)絡(luò)TAP的最令人興奮的事實也許就是我們才剛剛上路。現(xiàn)場網(wǎng)絡(luò)監(jiān)控的無限可能正在等待著我們！