数据包捕获设备

数据包捕获设备是一种能够捕获数据包的独立设备。它可以部署在网络上的任何部位,常部署在网络入口(即互联网连接)和关键设备,如包含敏感信息的服务器的前面。

一般情况下,数据包捕获设备会完整地捕获并记录所有网络数据包(包括报头和有效载荷),然而,一些设备还可以被配置为根据用户定义的过滤器来捕获部分网络流量。对于许多应用,特别是网络取证和应急事件响应,执行完整的数据包捕获极其关键,而带有过滤器的数据包捕获设备有时可能被用于特定的,有限的信息收集。[1]

部署

数据包捕获设备捕获的网络数据取决于设备在网络上的安装位置和方式。在网络上部署包捕获设备有两种方法:第一个是将设备连接到网络交换机或路由器上的SPAN端口(端口镜像)。第二种选择是内联连接设备,使得沿着网络路由的网络活动穿过设备(在配置上类似于网络分路器,但信息由分组捕获设备捕获和存储,而不是传递到另一个设备) 。

当通过SPAN端口连接时,包捕获设备可以接收和记录交换机或路由器的所有端口的所有以太网/IP活动。

当内联连接时,数据包捕获设备仅捕获两点之间行进的网络流量,即通过与数据包捕获设备连接的电缆的流量。

有两种通用的方法来部署数据包捕获设备:集中式和分散式。

集中

使用集中式方法,将一个高容量,高速数据包捕获设备连接到数据聚合点。集中式方法的优点是,通过一个设备,你可以了解网络的整个流量。然而,这种方法产生了单点故障,而这对于黑客是一个非常有吸引力的目标; 另外,必须重新设计网络以将业务带到设备,并且这种方法通常涉及高成本。

分散

使用分散式方法,你可以在网络上放置多个设备,从入口点开始,并向下游到更深层的网段(如工作组)。优点包括:不需要重新配置网络;易于部署;可用于事件响应调查多个有利点;有可扩展性;没有单点故障 - 如果一个失败了,你还有其他的可用;如果结合电子隐形来说,这种方法还消除了黑客未经授权访问的危险;低成本。缺点:需要增加多个电器用来维护。

在过去,分组捕获设备通常仅被节省地部署在进入网络的点处。现在可以将数据包捕获设备更有效地部署在网络各处。当执行事件响应时,从各种有利位置查看网络数据流的能力对于缩短解决时间和缩小网络的哪些部分最终受到影响是不可缺少的。通过将分组捕获设备放置在每个工作组的入口点和前面,可以简化和更快地跟踪特定传输到网络中的路径。此外,放置在工作组前面的设备将显示位于入口点的设备无法捕获的内部网传输数据。

容量

数据包捕获设备的容量范围从500 GB到32 TB或更多。只有少数几个具有极高网络使用率的组织可以用于上层的容量。大多数组织的服务能力从1 TB到4 TB。

选择容量时一个好的经验法则是,对于普通用户,每天可为重型用户提供1 GB的容量,而每月可容纳1 GB的容量。对于具有平均使用的20人的典型办公室,1TB将足够约1至4年。

链接速度比100/0 100 Mbit / s 1 Gbit / s 10 Gbit / s 40 Gbit / s
光盘上的数据/秒 12.5 Mbyte 125 Mbyte 1.25 Gbyte 5 Gbyte
光盘上的数据/分钟 750 Mbyte 7.5 Gbyte 75 Gbyte 300 Gbyte
光盘上的数据/小时 45 Gbyte 450 Gbyte 4.5 Tbyte 18 Tbyte

比率100/0表示实际链接上的单工流量,你可以拥有更多的流量。

特点

过滤与全包捕获

完全包捕获设备捕获和记录所有以太网/ IP活动,而过滤的包捕获设备仅捕获基于一组用户可定义过滤器的流量子集; 例如IP地址MAC地址协议。除非为过滤器参数所涵盖的非常特定的目的使用分组捕获设备,否则通常最好使用全包捕获设备来避免丢失重要数据。特别是在使用数据包捕获进行网络取证或网络安全时,捕获所有数据是至关重要的,因为任何未捕获的数据包都会永远消失。提前知道所需的分组或传输的特定特性是不可能的,特别是在高级持续性威胁(APT)的情况下。APT和其他黑客技术的成功依赖于网络管理员不知道他们是如何工作的,因此没有解决方案来消除他们。

加密与未加密存储

一些数据包捕获设备会将捕获的数据加密,然后再将其保存到磁盘,而其他数据包则不会。考虑到在网络或互联网连接上传播的信息的宽度,并且其至少一部分可以被认为是敏感的,对于大多数情况为保持捕获的数据安全的措施,加密是一个好主意。加密也是用于数据/网络取证的数据认证的关键要素。

持续捕获速度与峰值捕获速度

持续捕获速度指的是分组捕获设备在长时间段内捕获和记录分组而没有中断或错误的速率。这与峰值捕获率不同,峰值捕获率是数据包捕获设备可以捕获和记录数据包的最高速度。峰值捕获速度只能在短时间内保持,直到设备的缓冲区填满并开始丢失数据包。许多数据包捕获设备共享1 Gbit / s的相同峰值捕获速度,但实际持续速度因型号而异。

永久性和可覆盖性存储

具有永久存储的数据包捕获设备是网络取证和永久记录保存的理想选择,因为捕获的数据不能被覆盖,更改或删除。永久存储的唯一缺点是,如果最后设备满了则需要更换。具有可覆盖存储的数据包捕获设备更容易管理,因为一旦达到容量,它们将开始用新的数据覆盖最旧的捕获数据,但是,网络管理员要承担在覆盖时丢失重要捕获数据的风险。通常,具有重写能力的分组捕获设备对于简单的监视或测试目的是有用的,因为其不需要永久记录。永久的,不可覆盖的记录是网络取证信息收集的必要条件。

GbE与10 GbE

大多数企业使用千兆以太网速度网络,并将继续这样做一段时间。如果企业打算使用一个集中式数据包捕获设备来聚合所有网络数据,则可能需要使用10 GbE数据包捕获设备来处理来自网络的大量数据。更有效的方法是使用多个1Gbit / s在线数据包捕获设备,围绕网络有策略地放置,这样就不需要重新设计千兆网络以适应10 GbE设备。

数据安全

由于数据包捕获设备捕获并存储大量的网络活动数据,包括文件[2],电子邮件和其他通信,他们本身可能成为黑客的有吸引力的目标。部署了任何时间长度的数据包捕获设备应该包括安全特征,以保护记录的网络数据不被未授权方访问。如果部署数据包捕获设备引入了太多对安全性的额外注意,则保护它的成本可能超过它带来的好处。最好的方法是使数据包捕获设备具有内置的安全功能。这些安全功能可以包括加密或“隐藏”设备在网络上的存在的方法。例如,一些数据包捕获设备具有“电子不可见性”,即,通过不要求或使用IP或MAC地址而具有隐秘的网络简档。

虽然在它的表面上通过SPAN端口连接分组捕获设备似乎使其更加安全,但是数据包捕获设备最终仍然必须连接到网络以便允许管理和数据检索。虽然无法通过SPAN链接访问,但设备可通过管理链接访问。

尽管有这些好处,但是从远程机器控制数据包捕获设备的能力具有一个安全问题,那就是可能会使设备易受攻击。[3]允许远程访问的数据包捕获设备应该有一个强大的系统,以防止未经授权的访问。实现这一点的一种方式是并入手动禁用,例如允许用户物理地禁用远程访问的开关或切换。这个简单的解决方案是非常有效的,但是有人怀疑这会使得黑客更容易地获得对设备的物理访问,以翻转开关。

最后考虑的是物理安全。如果有人只能窃取数据包捕获设备或制作数据包捕获设备的副本,并且可以随时访问存储在其上的数据,那么世界上的所有网络安全功能都是无用的。加密是解决这一问题的最佳方法之一,尽管一些数据包捕获设备还具有防篡改机箱。

参见

入侵检测

数据包捕获

数据包嗅探器

参考文献

  1. ^ Sherri Davidoff; Jonathan Ham. 黑客大追踪:网络取证核心原理与实践. 北京: 电子工业出版社. 2015-1. ISBN 9787121245541. 
  2. ^ Erik Hjelmvik. Passive Network Security Analysis with NetworkMiner. Forensic Focus. 2008 [2012-07-08]. (原始内容存档于2012-02-23) (英语). 
  3. ^ Mike Pilkington. Protecting Admin Passwords During Remote Response and Forensics. SANS. 2010 [2012-07-08]. (原始内容存档于2013-03-28) (英语).