上一篇文章中,我们介绍如何对网络进行故障排除,重点介绍您将面临的最常见的挑战–连接、性能和延迟故障排除情况。在最完美的情况下,这将是你所面临的最困难的网络问题。
但现实是,在过去的十年中,故障排除变得越来越复杂。现在,网络速度比以往任何时候都快,你正在处理成倍增长的数据,网络威胁也变得越来越复杂。因此,要找到网络问题的根本原因和解决方案比以往任何时候都难。
这就是网络取证发挥作用的地方。在这篇文章中,我们将重点讨论网络取证在解决性能和安全问题中的作用,以及当这些工具有自己的问题时如何进行故障排除。
网络取证故障排除方案
网络取证分析工具(NFAT)在排除整个企业的更高级问题方面发挥着重要作用。它们使你能够捕获、记录和分析网络数据包,以发现问题的根源。
网络取证的主要用例是在网络安全方面,NFAT让你识别事件,保存相关记录,收集必要的数字证据,检查模式,分析攻击,并对事件做出反应。但是,你可以利用NFAT的关键能力,包括数据捕获、数据发现和分析,来解决间歇性的性能问题,监测政策的合规性,识别数据泄露,等等。
有各种各样的NFAT,你可以用来解决整个网络的问题。一些较常见的包括:
- Wireshark:免费和开源的数据包分析器,最常用于协议。
- Xplico:另一个开源工具,可以重建由Wireshark或dumpcap等数据嗅探器收集的数据内容。
- NetworkMiner:这个NFAT可以作为一个被动的数据包探针使用,可以很容易地进行高级分析,侧重于主机及其属性,而不是原始数据包。
问题是,当你依靠NFAT来捕获、存储和分析网络事件时,前提是这些工具对网络的流量具有100%的可见性。当你看到证据证明你的网络被破坏了,但你的NFAT却没有报告任何问题时,会发生什么情况?
这时你必须通过手动查看遇到问题的主机系统来开始排除网络取证的故障。考虑一个潜在的情况,即主机系统被一个rootkit系统所破坏。攻击者通过操纵主机系统和用户之间发送的数据来绕过NFAT。这就是能够将链接上的数据与活动预期进行比较的关键所在。
早在故障排除方案出现之前,你就应该为你的网络创建流量行为基线。然后,当你的网络取证工具出现问题时,你可以手动进入有关的链接,以获得一个清晰、公正的活动视图。通过将链路上的数据包与基线期望值进行比较,您可以识别出NFAT因为rootkit而无法识别的问题。
无论你面临的具体问题是什么,排除网络取证的关键是在最低级别上分析数据包。数据包是不会说谎的。即使你依靠NFAT来记录数据包,但如果没有适当的可见性,它们也不能有效地完成工作。这就是为什么你排查数字取证问题的最有力工具是网络TAP。
排除网络取证故障需要什么
如果你有一个网络取证问题需要解决,这意味着你有一个数据包捕获问题。而当网络取证工具出现故障时,你没有时间浪费在寻找根本原因上。当你知道有一个网络取证问题时,很可能你的公司正面临着网络攻击,当你做出反应时,每一秒都很重要。
网络TAP使你有能力在不中断数据流的情况下捕获一个链接上的所有流量,并使你能够实时分析数据包。在一个完美的情况下,TAP已经内置于你的网络设计结构中,你可以在任何时候深入挖掘网络取证问题。然而,有时你会在还没有TAP的链接上遇到问题。
这就是为什么便携式网络TAP是任何现场测试监测和故障排除工具包的一个重要组成部分。对于需要快速排除网络取证问题的现场工程师来说,拥有一个高效的TAP是非常重要的,它可以使分析器正确地检查100%的数据包。
这就是新的现场TAP,是10M/100M或10M/100M/1G现场测试监测的理想选择,这些口袋大小的便携式网络TAP使你能够轻松地分路有问题的链接,检查互联网连接、网络连接以及NFAT的更深层次的问题。
现场TAP最有用的关键场景之一是当Wireshark用户遇到问题。当你需要排除Wireshark的问题时,你可以快速连接现场TAP,直接从线路收集数据包,有效地识别问题。这对任何其他网络分析器或专用取证工具同样有用。
可见性从数据包层面开始。当你遇到取证问题时,你需要专业的、非侵入性的硬件设备来复制所有的网络数据,这样你就能真正看到问题所在。为了帮助你做到这一点,虹科现场TAP包括以下关键功能:
- 能够收集全双工1G的流量
- 在USB 3.0上监控
- 网络聚合
- 有一个包大小的迷你或便携式的外形尺寸,有1U的机架安装
- USB2/USB3供电或使用外部电源
从常见故障排除场景到更紧急、更高级的网络取证问题,虹科现场TAP为您提供了可靠查看网络活动的高效方式。如果您想了解更多详细信息,请联系我们!
