fbpx

Napatech – Continuous Packet Capture: Công cụ giá trị trong việc hỗ trợ mạng hiện đại

Ý tưởng về Packet Capture đã có từ nhiều năm trước, tuy nhiên, ý tưởng này còn tương đối mới. Packet Capture liên tục có thể được coi là một cửa sổ vào lịch sử mạng trong một thời kỳ mới, có thể được truy xuất, kiểm tra, lưu trữ và phân tích. Yêu cầu Packet Capture liên tục của mạng được xác định bởi tốc độ của mạng đang theo dõi (thông lượng thu) và từ khoảng thời gian bạn muốn truy xuất dữ liệu gói (thời gian lưu). Khi vượt quá thời gian lưu giữ, dữ liệu gói cũ nhất sẽ bị ghi đè. Hãy coi nó như một bộ đệm tròn lớn liên tục ghi đè lên chính nó.

Trước đây, Packet Capture được thực hiện sau một sự cố để gỡ lỗi thêm các sự cố mạng. Để hiểu đầy đủ vấn đề, vấn đề sẽ cần được tái tạo để có thể ghi lại và phân tích dấu vết gói tin. Là một kỹ sư mạng đang cố gắng tìm ra nguyên nhân gốc rễ của sự cố mạng, phương pháp trên có thể hoạt động hoặc không hiệu quả vì sự cố có thể không dễ tái tạo. Hơn nữa, trong nhiều trường hợp, vấn đề rất có thể sẽ xảy ra một lần nữa và quá trình sẽ phải được lặp lại.

Giá trị lớn nhất trong việc Packet Capture liên tục là người dùng hoàn toàn không liên quan đến việc gỡ lỗi sự cố mạng. Kỹ sư mạng có thể quay ngược thời gian về thời điểm sự kiện xảy ra và lấy dữ liệu gói thực tế đã gây ra sự kiện từ thiết bị chụp gói. packet Capture liên tục cung cấp bản sao của hoạt động mạng chính xác đã gây ra sự kiện, do đó, việc điều tra nguyên nhân gốc rễ có thể được hoàn thành nhanh chóng và hiệu quả hơn.

Trong trường hợp xảy ra các sự kiện an ninh mạng, việc packet Capture liên tục có thể còn quan trọng hơn. Nếu bạn đang chạy IDS hoặc tường lửa thế hệ tiếp theo (NGF), các cảnh báo mà các thiết bị này tạo ra có thể được sử dụng để lấy dữ liệu gói từ một thiết bị Packet Capture liên tục, đôi khi cũng được gọi là bộ ghi mạng. Cảnh báo an ninh mạng thường được ghi lại trong SIEM, như Splunk hoặc IBM Security QRadar, để chúng có thể được ghi lại, tìm kiếm và phân tích. Nhưng điều gì sẽ xảy ra nếu thông tin trong cảnh báo không cung cấp bức tranh toàn cảnh hoặc cái nhìn tổng thể về sự kiện để tìm ra nguyên nhân gốc rễ? Trong trường hợp này, có khả năng phân tích dữ liệu mạng thực tế đã gây ra sự kiện có thể cung cấp thông tin chi tiết toàn diện cần thiết.

Để giảm bớt quy trình làm việc của một kỹ sư an ninh mạng, các tích hợp đơn giản có thể được thực hiện giữa SIEM, IDS, NGF, v.v. và thiết bị Packet Capture, để tự động hóa quá trình truy xuất dữ liệu gói cho các sự kiện an ninh mạng. Có thể thực hiện quy trình làm việc bằng một cú nhấp chuột hoặc truy xuất và lưu trữ dữ liệu gói sự kiện hoàn toàn tự động với các thiết bị Packet Capture hiện đại ngày nay.

Việc triển khai khả năng Packet Capture liên tục vào mạng của bạn không nhất thiết phải là một khoản đầu tư tốn kém. Đối với các mạng dưới 1Gbps và thời gian lưu giữ dưới một vài ngày, điều này có thể đạt được bằng cách sử dụng phần cứng hàng hóa rẻ tiền. Các ứng dụng nguồn mở có thể cung cấp hầu hết các chức năng và thường có thể xử lý các mạng dưới 1Gbps. Cần phải thừa nhận rằng chỉ nắm bắt được lưu lượng truy cập mới chỉ là một nửa của câu đố. Khả năng tìm thấy gói dữ liệu quan tâm cũng quan trọng trong việc tìm ra nguyên nhân gốc rễ của vấn đề. Ngoài ra, Packet Capture không mất dữ liệu là cực kỳ quan trọng vì nó cung cấp cho toàn bộ bức tranh. Phần mềm Packet Capture có sẵn trên thị trường và các NIC có thể được triển khai cho việc này, vì chúng có thể cung cấp sự đảm bảo Packet Capture 100% với chi phí rất hợp lý. Khi xem xét các thiết bị Packet Capture, điều quan trọng là phải đảm bảo rằng sản phẩm hỗ trợ Packet Capture 100% cho tất cả các kích thước gói ở tốc độ bắt yêu cầu. Cũng nên kiểm tra hiệu suất tìm kiếm, truy xuất và phát trực tuyến của công cụ vì điều này có thể xác định xem dữ liệu gói có sẵn nhanh chóng hay không, để vấn đề liên quan đến mạng được giải quyết trong vài phút, thay vì vài giờ hoặc vài ngày.

Nguồn bài dịch: Continuous Packet Capture: A Valuable Tool in Supporting Modern Networks

Facebook Comments
Chia sẻ với bạn bè

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *