网络上发生的所有事件都是时间敏感的,这就是为什么在讨论数据包捕获和分析时,给数据包加上时间戳非常重要。此功能不仅可以防止和分析网络攻击,而且还能让你检查趋势和网络延迟。
网络数据包时间戳可用于调查以某种方式影响网络性能的事件。例如,跟踪数据包的到达可让你了解原始流量,以便可以计算诸如性能指标之类的链路指标,或诸如TCP流吞吐量、延迟和抖动之类的应用程序性能。
时间戳的必要性
日益脆弱的数字世界使网络安全成为全球大小企业的优先考虑事项。每一个安全团队至少都遇到过一次严重的虚拟威胁。
为了能够抵抗(甚至阻止)虚拟攻击或系统错误,这些团队需要对他们的网络具有完全的访问权限和可见性。换句话说,他们需要能够捕获和关联数据包的产品,以便有机会及早发现并防止威胁。
因此,高精度地给数据包加上时间戳的能力,对于了解逐包级别网络中正在发生的事情至关重要。准确的时间信息对于法律和刑事调查也是非常重要,准确性要求很高的法医分析也同样适用。
高效的可视化平台应包括高级网络访问设备(包括网络TAP和网络数据包代理),以便于将数据包从源转发到目的地。几乎所有这些功能都需要精确的时序,换句话说,它们需要支持时间戳。
时间戳是什么意思?
时间戳是一系列字符,可以通过为您提供实际的日期和时间(有时精确到几分之一秒)来帮助您识别特定事件的发生时间。
简而言之,时间戳是与传入和事件传出数据包关联的本地系统时间的快照。用于指定数据包通过网络访问设备转发的时间。
它可以分为入口时间戳——指定设备接收到数据包的第一位的时间,以及出口时间戳——指定从设备发送数据包的第一位的时间。
时间不正确的数据包会导致识别和解决问题的延迟,因此必须加盖时间戳。
使用某些TAP时,根据数据包的大小不同,它们可能会失去顺序。通常,这可以通过网络堆栈解决,但是在捕获方案中则不是这种情况。
知道TAP接收到数据包的第一位的确切时间(入口时间戳记),可以确保在分析PCAP文件时,无序处理的数据包不会成为问题所在。有了正确的时间戳记,就可以使用Wireshark这样的数据包分析器工具轻松地对它们进行分类。
网络安全的基本功能
开始捕获数据包时的一项重要要求是,知道捕获数据包的确切日期和时间。这在许多应用程序和/或涉及不同时区的情况下尤其重要,例如合规性、故障排除、容量规划、入侵检测和网络攻击预防等。
因此,高级捕获设备必须在其硬件中内置至少纳秒精度的时间戳。这样可以确保数据包包含其在网络上出现的实际时间。
在实际数据包上标记的特定时间,还可以帮助您测量网络延迟和性能监视。此外,对于采样和分析,或在日志和报告中记录特定事件发生的时间都非常重要。
在解决网络和应用程序问题或执行安全取证时,实时查看数据非常实用。在网络危机期间,网络和系统团队互相指责,因为网络和服务器数据之间缺少与数据包到数据包响应时间相匹配的任何关联。
拥有一个能够实时关联网络上的数据包,并具有时间戳功能的数据包捕获工具,是确保能够快速解决问题的关键。它还可以确保问题得到立即识别,因此不会有升级的机会。
网络数据包采集时间戳解决方案
新的Cubro Packetmaster是新一代的网络数据包代理,能够过滤到OSI第7层。新G5高级网络数据包代理能够对关键字进行重复数据删除,时间戳和基于会话的过滤等高级功能(搜索数据包的有效载荷以查找特定关键字匹配)或正则表达式匹配(在有效负载中搜索模式匹配)。
http://weixin.qq.com/r/bEXt9RLEkE-vrVaW9xB_ (二维码自动识别)
