虹科分享|便携式数据包捕获解决方案的发展

有人说，未来就在眼前。如果我们看看过去十年中开发出的物联网技术，我们的确没发反驳他们。21世纪的技术繁荣改变了我们的生活，和彼此之间的交流方式。

比如说我们正在研究的MAREA项目，我们甚至可以说我们正在见证历史。 这是一个从美国到西班牙的，铺设在海底的超高速光纤网络，拥有160Tbit / s的高速传输。

不幸的是，这些创新会为黑客渗透网络开辟新的途径。最新的勒索软件或DDoS攻击揭示了过去几年中没有的安全漏洞。

为了跟上瞬息万变的发展并让用户感到安心，许多公司已经创建了一些监视和安全工具。其中，数据包捕获解决方案是高度安全的IT基础架构的基础。

网络危机会在你最不经意的时候发生，这就是为什么网络监控的世界也必须进化。我们可以选择一种网络分析仪，它可以快速部署、快速捕获您的数据包，并且即使在现场使用，也足以应对突发状况。

诸如Profitap之类的公司创建了功能强大的便携式TAP（例如ProfiShark系列），它们是现场数据包捕获中最好、最快的工具之一。它们能帮助您深入网络、分析流量并识别造成故障的数据包的理想设备。

但是我们是如何做到的呢？便携式TAP如何强大到足以承受100％的流量，并且同时又易于在现场部署？

让我们来看看便携式网络TAP是如何发展的。

便携式全双工TAP

最初，我们是有铜缆和光纤TAP，它们被设计为仅在数据中心环境中使用。了解有关所有类型的网络监视工具的更多信息。

不久之后，制造商就了解现场工具的需求，所以他们创建了全双工TAP的基本版本，并将其作为便携式模型出售。但是，它们也只是机架安装型号的较小版本，并且仍包含机架安装螺钉固定器。

这种全双工TAP（也称为Breaking TAP）从两个网络端口捕获流量，并将其复制到两个输出或监视端口。除了全双工TAP本身之外，您还需要有一台包含双网络接口卡（NIC）的盒式PC。除此之外，托管监视应用程序的PC还必须执行接口绑定或链接聚合，才能将两个接口视为一个单一的流量。

设备以全线速捕获了流量，并且没有任何数据包丢失或定时延迟。因此，性能是值得肯定的，但是IT工程师仍然很难在现场采用这种“便携式” TAP，因为他们仍然需要额外的硬件。

总而言之，便携式TAP的第一种方法并不是真正的便携式，因为您无法在现场携带随身桌面，并且笔记本电脑上也没有双网卡。

便携式聚合TAP

TAP制造商尝试解决可移植性问题的另一种方法是引入Aggregator TAP，也称为Aggregation TAP。这种类型的TAP设备将两个传入通信流合并为一个传出通信流。这意味着只有一个监视端口也可以接收两个网络端口的聚合流量。

因此，这解决了用于分析的PC对双NIC的需求。实际上，它完全删除了盒式PC，从而使笔记本电脑可以轻松连接到TAP。虽然这实现了真正的可移植性，但是没有实现性能。

我们都知道，网络干线至少可以达到千兆速率（1 Gbps）。因此，无论对任何网络干线进行故障排除，都必须将TAP与千兆位网络端口一起放置。但是，当输出（或监视端口）也是千兆位端口时，则不可能在1Gbps输出上完全传输2Gbps的聚合流量。

因此，这会导致流量捕获不一致。一旦网络接口的利用率猛增到50％以上，如果此时缓冲区也饱和了，那么您的数据包将会从网桥上掉下来。如果两个输入网络端口均以最大容量限制流量，则可能会丢失多达50％的总流量。

克服这个瓶颈的最佳方法是，将聚合流量传输到更高的数据速率输出。对于TAP制造商来说，将10GE NIC用作便携式TAP的输出是不可行的。此外，笔记本电脑不具有10GE NIC，并且可能在很长一段时间不会使用。重点还是将便携性和性能打包到一个小工具中。

先进的现场数据包捕获工具

后来我们发布了专门开发的便携式网络TAP。大小袖珍且功能强大，该设备可以处理各种类型的故障排除——对于想要确保网络稳定、可扩展性和安全性的公司而言，这是一件理想的设备。

这类先进的现场故障排除工具与之前的产品不同，因为它们具有连接能力，并且能在几分钟内开始捕获数据包，无特殊要求。

它们还能够将捕获的数据包直接传输到主机计算机的磁盘。当每个数据包进入TAP时，会在硬件级别实时捕获所有数据包，并且具有纳秒级的时间戳。该时间戳允许以纳秒分辨率对捕获的流量进行实时协议分析。

我们的便携式网络TAP 正是为了做到这一点而设计的，它没有使用千兆网卡作为监视端口。相反，它使用了USB 3.0，该功能可以以高达5 Gbps的速度传输数据。因此，它可以通过USB 3.0链路轻松传输2 Gbps的聚合流量（端口A和B各传输1G）。

这意味着缓冲存储器不需要丢弃任何数据包，也不必存储足够长的数据包来影响其时序。此外，它还可以连接到笔记本电脑的USB端口，并具有独特的即插即用功能，而无需依赖外部电源。

如今，便携式捕获设备的发展甚至比便携式数据包中的网络线路还远。如今，它们可以用作长期捕获解决方案，并且可以远程访问。例如，如果您将ProfiShark 1G与NAS结合使用，它的长期捕获功能将帮助您捕获行为中的间歇性问题。

此外，ProfiShark可以与我们自己的基于Web的网络流量分析器ProfiSight结合使用，使您可以通过提取捕获的数据包流中的元数据来快速查看流数据。换句话说，此数据包捕获和分析设置提供了对重要流量的快速、完整的访问和可视化，以便您可以解决间歇性的网络性能问题，并确保网络的服务质量（QoS）。

先进的便携式TAP工具已经可以在许多情况下使用，并有望提供良好的结果。当当评估临时的、间歇性的问题时，比如意外的协议交互（传统的监控工具无法评估这些问题），它们可能是理想的选择。

这些便携式设备对于防范网络攻击（例如网络钓鱼或其他类型的安全威胁）非常有用。借助此类工具，网络管理员可以按时间顺序重建Web会话、电子邮件和“chat line”对话，以便调查安全事件并进行准确的取证分析。

最后，关于便携式网络TAP的最令人兴奋的事实也许就是我们才刚刚上路。现场网络监控的无限可能正在等待着我们！