數據包捕獲設備
數據包捕獲設備是一種能夠捕獲數據包的獨立設備。它可以部署在網絡上的任何部位,常部署在網絡入口(即互聯網連接)和關鍵設備,如包含敏感信息的伺服器的前面。
一般情況下,數據包捕獲設備會完整地捕獲並記錄所有網絡數據包(包括報頭和有效載荷),然而,一些設備還可以被配置為根據用戶定義的過濾器來捕獲部分網絡流量。對於許多應用,特別是網絡取證和應急事件響應,執行完整的數據包捕獲極其關鍵,而帶有過濾器的數據包捕獲設備有時可能被用於特定的,有限的信息收集。[1]
部署
數據包捕獲設備捕獲的網絡數據取決於設備在網絡上的安裝位置和方式。在網絡上部署包捕獲設備有兩種方法:第一個是將設備連接到網絡交換機或路由器上的SPAN端口(端口鏡像)。第二種選擇是內聯連接設備,使得沿着網絡路由的網絡活動穿過設備(在配置上類似於網絡分路器,但信息由分組捕獲設備捕獲和存儲,而不是傳遞到另一個設備) 。
當通過SPAN端口連接時,包捕獲設備可以接收和記錄交換機或路由器的所有端口的所有以太網/IP活動。
當內聯連接時,數據包捕獲設備僅捕獲兩點之間行進的網絡流量,即通過與數據包捕獲設備連接的電纜的流量。
有兩種通用的方法來部署數據包捕獲設備:集中式和分散式。
集中
使用集中式方法,將一個高容量,高速數據包捕獲設備連接到數據聚合點。集中式方法的優點是,通過一個設備,你可以了解網絡的整個流量。然而,這種方法產生了單點故障,而這對於黑客是一個非常有吸引力的目標; 另外,必須重新設計網絡以將業務帶到設備,並且這種方法通常涉及高成本。
分散
使用分散式方法,你可以在網絡上放置多個設備,從入口點開始,並向下游到更深層的網段(如工作組)。優點包括:不需要重新配置網絡;易於部署;可用於事件響應調查多個有利點;有可擴展性;沒有單點故障 - 如果一個失敗了,你還有其他的可用;如果結合電子隱形來說,這種方法還消除了黑客未經授權訪問的危險;低成本。缺點:需要增加多個電器用來維護。
在過去,分組捕獲設備通常僅被節省地部署在進入網絡的點處。現在可以將數據包捕獲設備更有效地部署在網絡各處。當執行事件響應時,從各種有利位置查看網絡數據流的能力對於縮短解決時間和縮小網絡的哪些部分最終受到影響是不可缺少的。通過將分組捕獲設備放置在每個工作組的入口點和前面,可以簡化和更快地跟蹤特定傳輸到網絡中的路徑。此外,放置在工作組前面的設備將顯示位於入口點的設備無法捕獲的內部網傳輸數據。
容量
數據包捕獲設備的容量範圍從500 GB到32 TB或更多。只有少數幾個具有極高網絡使用率的組織可以用於上層的容量。大多數組織的服務能力從1 TB到4 TB。
選擇容量時一個好的經驗法則是,對於普通用戶,每天可為重型用戶提供1 GB的容量,而每月可容納1 GB的容量。對於具有平均使用的20人的典型辦公室,1TB將足夠約1至4年。
連結速度比100/0 | 100 Mbit / s | 1 Gbit / s | 10 Gbit / s | 40 Gbit / s |
---|---|---|---|---|
光盤上的數據/秒 | 12.5 Mbyte | 125 Mbyte | 1.25 Gbyte | 5 Gbyte |
光盤上的數據/分鐘 | 750 Mbyte | 7.5 Gbyte | 75 Gbyte | 300 Gbyte |
光盤上的數據/小時 | 45 Gbyte | 450 Gbyte | 4.5 Tbyte | 18 Tbyte |
比率100/0表示實際連結上的單工流量,你可以擁有更多的流量。
特點
過濾與全包捕獲
完全包捕獲設備捕獲和記錄所有以太網/ IP活動,而過濾的包捕獲設備僅捕獲基於一組用戶可定義過濾器的流量子集; 例如IP位址,MAC地址或協議。除非為過濾器參數所涵蓋的非常特定的目的使用分組捕獲設備,否則通常最好使用全包捕獲設備來避免丟失重要數據。特別是在使用數據包捕獲進行網絡取證或網絡安全時,捕獲所有數據是至關重要的,因為任何未捕獲的數據包都會永遠消失。提前知道所需的分組或傳輸的特定特性是不可能的,特別是在高級持續性威脅(APT)的情況下。APT和其他黑客技術的成功依賴於網絡管理員不知道他們是如何工作的,因此沒有解決方案來消除他們。
加密與未加密存儲
一些數據包捕獲設備會將捕獲的數據加密,然後再將其保存到磁盤,而其他數據包則不會。考慮到在網絡或互聯網連接上傳播的信息的寬度,並且其至少一部分可以被認為是敏感的,對於大多數情況為保持捕獲的數據安全的措施,加密是一個好主意。加密也是用於數據/網絡取證的數據認證的關鍵要素。
持續捕獲速度與峰值捕獲速度
持續捕獲速度指的是分組捕獲設備在長時間段內捕獲和記錄分組而沒有中斷或錯誤的速率。這與峰值捕獲率不同,峰值捕獲率是數據包捕獲設備可以捕獲和記錄數據包的最高速度。峰值捕獲速度只能在短時間內保持,直到設備的緩衝區填滿並開始丟失數據包。許多數據包捕獲設備共享1 Gbit / s的相同峰值捕獲速度,但實際持續速度因型號而異。
永久性和可覆蓋性存儲
具有永久存儲的數據包捕獲設備是網絡取證和永久記錄保存的理想選擇,因為捕獲的數據不能被覆蓋,更改或刪除。永久存儲的唯一缺點是,如果最後設備滿了則需要更換。具有可覆蓋存儲的數據包捕獲設備更容易管理,因為一旦達到容量,它們將開始用新的數據覆蓋最舊的捕獲數據,但是,網絡管理員要承擔在覆蓋時丟失重要捕獲數據的風險。通常,具有重寫能力的分組捕獲設備對於簡單的監視或測試目的是有用的,因為其不需要永久記錄。永久的,不可覆蓋的記錄是網絡取證信息收集的必要條件。
GbE與10 GbE
大多數企業使用千兆以太網速度網絡,並將繼續這樣做一段時間。如果企業打算使用一個集中式數據包捕獲設備來聚合所有網絡數據,則可能需要使用10 GbE數據包捕獲設備來處理來自網絡的大量數據。更有效的方法是使用多個1Gbit / s在線數據包捕獲設備,圍繞網絡有策略地放置,這樣就不需要重新設計千兆網絡以適應10 GbE設備。
數據安全
由於數據包捕獲設備捕獲並存儲大量的網絡活動數據,包括文件[2],電子郵件和其他通信,他們本身可能成為黑客的有吸引力的目標。部署了任何時間長度的數據包捕獲設備應該包括安全特徵,以保護記錄的網絡數據不被未授權方訪問。如果部署數據包捕獲設備引入了太多對安全性的額外注意,則保護它的成本可能超過它帶來的好處。最好的方法是使數據包捕獲設備具有內置的安全功能。這些安全功能可以包括加密或「隱藏」設備在網絡上的存在的方法。例如,一些數據包捕獲設備具有「電子不可見性」,即,通過不要求或使用IP或MAC地址而具有隱秘的網絡簡檔。
雖然在它的表面上通過SPAN端口連接分組捕獲設備似乎使其更加安全,但是數據包捕獲設備最終仍然必須連接到網絡以便允許管理和數據檢索。雖然無法通過SPAN連結訪問,但設備可通過管理連結訪問。
儘管有這些好處,但是從遠程機器控制數據包捕獲設備的能力具有一個安全問題,那就是可能會使設備易受攻擊。[3]允許遠程訪問的數據包捕獲設備應該有一個強大的系統,以防止未經授權的訪問。實現這一點的一種方式是併入手動禁用,例如允許用戶物理地禁用遠程訪問的開關或切換。這個簡單的解決方案是非常有效的,但是有人懷疑這會使得黑客更容易地獲得對設備的物理訪問,以翻轉開關。
最後考慮的是物理安全。如果有人只能竊取數據包捕獲設備或製作數據包捕獲設備的副本,並且可以隨時訪問存儲在其上的數據,那麼世界上的所有網絡安全功能都是無用的。加密是解決這一問題的最佳方法之一,儘管一些數據包捕獲設備還具有防篡改機箱。
參見
入侵檢測
數據包捕獲
數據包嗅探器
參考文獻
- ^ Sherri Davidoff; Jonathan Ham. 黑客大追踪:网络取证核心原理与实践. 北京: 電子工業出版社. 2015-1. ISBN 9787121245541.
- ^ Erik Hjelmvik. Passive Network Security Analysis with NetworkMiner. Forensic Focus. 2008 [2012-07-08]. (原始內容存檔於2012-02-23) (英語).
- ^ Mike Pilkington. Protecting Admin Passwords During Remote Response and Forensics. SANS. 2010 [2012-07-08]. (原始內容存檔於2013-03-28) (英語).