虹科网络监控软件解决方案(三)-- 连续流量记录和回放n2disk
流量记录与回放
大多数网络安全系统都依赖于捕获完整大小的数据包,因为任何数据包都可能导致了攻击或包含了我们试图发现的问题。Netflow信息更易于管理,并且需要存储的磁盘空间更少,但是在某些情况下,例如深度数据包检查分析或受控的流量再生,它没有用。虹科n2disk和disk2n可以实现高速率的流量记录和回放,可以帮助工程师实现数据包级别的分析。
连续流量记录-n2disk™
n2disk™是网络流量记录器应用程序。使用n2disk™,您可以从实时网络接口以几Gigabit速率(在足够的硬件上以10 Gigabit / s以上)捕获全尺寸的网络数据包,并将其写入文件中而不会丢失任何数据包。n2disk™旨在将文件长时间写入磁盘,您必须指定在执行过程中可以写入的不同文件最大数量,如果n2disk™达到最大文件数量,它将开始回收文件从最旧的一个。这样,您可以在固定的时间窗口中完整了解流量,并提前知道所需的磁盘空间量。
disk™可以有效地执行许多活动,其中包括:
- 通过提供诸如Snort之类的专用工具来进行离线网络数据包分析。
- 重建特定的通信流或网络活动。
- 将先前捕获的流量复制到其他网络接口。
n2disk™的主要功能
具有FPGA加速的NIC(以及足够的存储子系统)的40 Gbit连续数据包到磁盘。
- 使用标准PCAP文件格式(常规和纳秒级)
- PF_RING加速。n2disk™利用标准PF_RING和PF_RING ZC提供的数据包捕获加
- PCAP和索引压缩。n2disk™可以选择动态压缩PCAP文件和索引,从而优化I / O吞吐量和磁盘空间
- BPF筛选器支持从记录过程中过滤掉不需要的网络数据包
- 直接IO磁盘访问。n2disk™采用直接IO方式访问磁盘,以获得最大的磁盘写吞吐量
- …
n2disk™性能&优势
n2disk™旨在跟上商用硬件上的多千兆位速率。
下表显示了以下系统的性能最差情况:
- CPU: Intel® Xeon® E5-1660 v3 @ 3.0GHz
- Motherboard: Supermicro
- Memory: 32 GB
- Card: Intel PCIe X520 10 Gigabit
- Disks: 8x 1TB 10K RPM SATA
n2disk™有下图中三种类型,其中n2disk 10/40/100 Gbit也可以解锁PF_RING FT以进行L7过滤(不需要其他许可证)。
网络流量回放-disk2n
将流量进行记录以后怎样去进行分析呢?最好的方法就是将流量进行回放。disk2n能够在实时网络上重放以前使用n2disk捕获的网络流量,观察原始数据包间时间。
disk2n可以有效地用于执行许多活动,其中包括:
- 复制选定的长期网络活动。
- 将先前捕获的流量重播到其他网络接口。
- 生成流量来测试网络设备,这是没有流量生成器可以做的,因为它们通常受重放持续时间的限制。
连续数据包记录仪-nBox Recorder
nBox Recorder实现了数据包->硬盘的流量记录,高性能完全数据包捕获到磁盘。使用行 业标准的PCAP文件格式将数据包转储到文件中,因此可以将输出结果轻松地与 现有的第三 方甚至是ntop,Wireshark等开源分析工具集成。并且它能够将转储的文件复制到物理接 口,然后可以使用使用ntop和nProbe等工具进行监控分析。
在以下型号中,nBox Recorder可用作物理设备。
获取途径
可通过访问我们的官网联系我们。
关注我们