数据包捕获设备

✍ dations ◷ 2025-09-09 13:25:08 #封包,网络安全

数据包捕获设备是执行独立设备的数据包捕获。它可以部署在网络上的任何地方，然而最通常地放置在网络的入口（即互联网连接）和关键设备比如包含敏感信息的服务器的前面。

通常来说，数据包捕获设备完全捕获和记录所有网络分组（报头和有效载荷），然而，一些设备可以被配置为基于用户可定义的过滤器捕获网络的业务的子集。对于许多应用，特别是网络取证和事件响应，执行完整的分组捕获是很关键的，尽管过滤的数据包捕获设备可能有时被用于特定的，有限的信息收集目的。

数据包捕获设备捕获的网络数据取决于设备在网络上的安装位置和方式。在网络上部署包捕获设备有两个方法。第一个是将设备连接到网络交换机或路由器上的SPAN端口（端口镜像）。第二种选择是内联连接设备，使得沿着网络路由的网络活动穿过设备（在配置上类似于网络分路器，但信息由分组捕获设备捕获和存储，而不是传递到另一个设备）。当通过SPAN端口连接时，包捕获设备可以接收和记录交换机或路由器的所有端口的所有以太网/ IP活动。当内联连接时，数据包捕获设备仅捕获两点之间行进的网络流量，即通过与数据包捕获设备连接的电缆的流量。有两种通用的方法来部署数据包捕获设备：集中式和分散式。

使用集中式方法，将一个高容量，高速数据包捕获设备连接到数据聚合点。集中式方法的优点是，通过一个设备，你可以了解网络的整个流量。然而，这种方法产生了单点故障，而这对于黑客是一个非常有吸引力的目标; 另外，必须重新设计网络以将业务带到设备，并且这种方法通常涉及高成本。

使用分散式方法，你可以在网络上放置多个设备，从入口点开始，并向下游到更深层的网段（如工作组）。优点包括：不需要重新配置网络; 易于部署; 可用于事件响应调查多个有利点; 有可扩展性; 没有单点故障 - 如果一个失败了，你还有其他的可用;如果结合电子隐形来说，这种方法还消除了黑客未经授权访问的危险;低成本。缺点：需要增加多个电器用来维护。

在过去，分组捕获设备通常仅被节省地部署在进入网络的点处。现在可以将数据包捕获设备更有效地部署在网络各处。当执行事件响应时，从各种有利位置查看网络数据流的能力对于缩短解决时间和缩小网络的哪些部分最终受到影响是不可缺少的。通过将分组捕获设备放置在每个工作组的入口点和前面，可以简化和更快地跟踪特定传输到网络中的路径。此外，放置在工作组前面的设备将显示位于入口点的设备无法捕获的内部网传输数据。

数据包捕获设备的容量范围从500 GB到32 TB或更多。只有少数几个具有极高网络使用率的组织可以用于上层的容量。大多数组织的服务能力从1 TB到4 TB。

选择容量时一个好的经验法则是，对于普通用户，每天可为重型用户提供1 GB的容量，而每月可容纳1 GB的容量。对于具有平均使用的20人的典型办公室，1TB将足够约1至4年。

比率100/0表示实际链接上的单工流量，你可以拥有更多的流量。

完全包捕获设备捕获和记录所有以太网/ IP活动，而过滤的包捕获设备仅捕获基于一组用户可定义过滤器的流量子集; 例如IP地址，MAC地址或协议。除非为过滤器参数所涵盖的非常特定的目的使用分组捕获设备，否则通常最好使用全包捕获设备来避免丢失重要数据。特别是在使用数据包捕获进行网络取证或网络安全时，捕获所有数据是至关重要的，因为任何未捕获的数据包都会永远消失。提前知道所需的分组或传输的特定特性是不可能的，特别是在高级持续性威胁（APT）的情况下。APT和其他黑客技术的成功依赖于网络管理员不知道他们是如何工作的，因此没有解决方案来消除他们。

一些数据包捕获设备会将捕获的数据加密，然后再将其保存到磁盘，而其他数据包则不会。考虑到在网络或互联网连接上传播的信息的宽度，并且其至少一部分可以被认为是敏感的，对于大多数情况为保持捕获的数据安全的措施，加密是一个好主意。加密也是用于数据/网络取证的数据认证的关键要素。

持续捕获速度指的是分组捕获设备在长时间段内捕获和记录分组而没有中断或错误的速率。这与峰值捕获率不同，峰值捕获率是数据包捕获设备可以捕获和记录数据包的最高速度。峰值捕获速度只能在短时间内保持，直到设备的缓冲区填满并开始丢失数据包。许多数据包捕获设备共享1 Gbit / s的相同峰值捕获速度，但实际持续速度因型号而异。

具有永久存储的数据包捕获设备是网络取证和永久记录保存的理想选择，因为捕获的数据不能被覆盖，更改或删除。永久存储的唯一缺点是，如果最后设备满了则需要更换。具有可覆盖存储的数据包捕获设备更容易管理，因为一旦达到容量，它们将开始用新的数据覆盖最旧的捕获数据，但是，网络管理员要承担在覆盖时丢失重要捕获数据的风险。通常，具有重写能力的分组捕获设备对于简单的监视或测试目的是有用的，因为其不需要永久记录。永久的，不可覆盖的记录是网络取证信息收集的必要条件。

大多数企业使用千兆以太网速度网络，并将继续这样做一段时间。如果企业打算使用一个集中式数据包捕获设备来聚合所有网络数据，则可能需要使用10 GbE数据包捕获设备来处理来自网络的大量数据。更有效的方法是使用多个1Gbit / s在线数据包捕获设备，围绕网络有策略地放置，这样就不需要重新设计千兆网络以适应10 GbE设备。

由于数据包捕获设备捕获并存储大量的网络活动数据，包括文件，电子邮件和其他通信，他们本身可能成为黑客的有吸引力的目标。部署了任何时间长度的数据包捕获设备应该包括安全特征，以保护记录的网络数据不被未授权方访问。如果部署数据包捕获设备引入了太多对安全性的额外注意，则保护它的成本可能超过它带来的好处。最好的方法是使数据包捕获设备具有内置的安全功能。这些安全功能可以包括加密或“隐藏”设备在网络上的存在的方法。例如，一些数据包捕获设备具有“电子不可见性”，即，通过不要求或使用IP或MAC地址而具有隐秘的网络简档。

虽然在它的表面上通过SPAN端口连接分组捕获设备似乎使其更加安全，但是数据包捕获设备最终仍然必须连接到网络以便允许管理和数据检索。虽然无法通过SPAN链接访问，但设备可通过管理链接访问。

尽管有这些好处，但是从远程机器控制数据包捕获设备的能力具有一个安全问题，那就是可能会使设备易受攻击。允许远程访问的数据包捕获设备应该有一个强大的系统，以防止未经授权的访问。实现这一点的一种方式是并入手动禁用，例如允许用户物理地禁用远程访问的开关或切换。这个简单的解决方案是非常有效的，但是有人怀疑这会使得黑客更容易地获得对设备的物理访问，以翻转开关。

最后考虑的是物理安全。如果有人只能窃取数据包捕获设备或制作数据包捕获设备的副本，并且可以随时访问存储在其上的数据，那么世界上的所有网络安全功能都是无用的。加密是解决这一问题的最佳方法之一，尽管一些数据包捕获设备还具有防篡改机箱。

入侵检测

数据包捕获

数据包嗅探器

相关

反键原子轨道在线性组合成分子轨道时（即两个波函数相加得到的分子轨道），能量较高的分子轨道叫反键轨道（英语：Antibonding orbital）。反键轨道总是与成键轨道成对出现，其余为非键轨道。
吡咯吡咯（Pyrrole，1-氮杂-2,4-环戊二烯），杂环化合物之一。分子式C4H5N，分子量：67.09，CAS号109-97-7。熔点-23℃，沸点129-131℃，密度0.967g/cm3。多个吡咯环可以形成更大的环系，如血红蛋白
科芬园坐标：51°30′43″N 0°07′22″W / 51.51197°N 0.1228°W / 51.51197; -0.1228科文特花园（Covent Garden，/ˈkɒvənt/），是英国伦敦西区的一个地区，位于圣马丁巷（英语：St. Martin'
萨尔茨堡州萨尔茨堡州（德语：Salzburg）是奥地利共和国的一个州，位于奥地利与德国的交界处，首府为萨尔茨堡。萨尔茨堡在神圣罗马帝国时期是其一个独立的大主教教区，直到1803年被作为赔偿割让了
2019冠状病毒病马来西亚病例简表本条目列出2019冠状病毒病在马来西亚确诊的病例简表。该简表为确诊摘要，病例详细内容请参见确诊/痊愈时间表。注：以下数据截至3月12日，其后之数据因卫生部无提供详细数据而不予
李未李未（1943年6月8日－），北京人，中国计算机专家，中国科学院院士，北京航空航天大学原校长。他主要从事计算机软件与科学理论以及因特网应用研究，研究领域包括并发程序设计语言语义理论、
.gw.gw为几内亚比绍国家顶级（ccTLD）的域名，曾经只有两个注册网站，是全球注册量最少的域名之一。至2015年，已有300余网页使用此域名。A .ac .ad .ae .af .ag .ai .al .am .ao .aq .a
奇普里安·波隆贝斯库奇普里安·波隆贝斯库（罗马尼亚文：Ciprian Porumbescu，1853年10月14日－1883年6月16日），生于奥匈帝国布科维纳的什波特莱－苏采维（今属乌克兰）。他是当时罗马尼亚最著名的作曲家，代表作
奥斯曼一世奥斯曼一世或称奥斯曼加齐（奥斯曼土耳其语：عثمان غازى，土耳其语：Osmān Ghāzi ; ?－1323/1324年），他领导奥斯曼土耳其人部族开创了奥斯曼王朝。新生的奥斯曼帝国国名由
电动步道电动步道（英文：Moving walkway 或 Travelator），又称为自动人行道或行人输送带，为一种以运输带方式来运输乘客运送行人的运输工具，相当类似电扶梯，不过是以水平或稍微倾斜的方式移动