标签: 网络流量监控

全文共计700字，预计阅读3分钟 在当前网络威胁日益频繁的背景下，企业迫切需要一种高效、智能的安全监测工具。本文深入介绍了 IOTA 在网络威胁识别中的实际应用价值。通过实时监控 TCP 连接、检测异常端口以及分析 SSL/TLS 加密强度，IOTA 能帮助企业快速识别潜在风险来源，并在攻击发生前及时响应。无论是边缘节点、分支机构，还是数据中心核心网络，IOTA 都能提供精准的流量数据分析与安全决策支持，助力企业构建更具韧性的防护体系。 IOTA简介：IOTA 是一款功能强大的网络捕获和分析解决方案，适用于边缘和核心网络。IOTA 系列包括便携式 EDGE 型号、高速 CORE 型号和 IOTA CM 集中设备管理系统。IOTA 解决方案可为分支机构、中小企业和核心网络（如数据中心）提供快速高效的网络分析和故障排除功能。 该工作流程展示了艾体宝的 IOTA 解决方案如何加强关键网络安全。在网络安全威胁不断的今天，监控和保护网络流量对任何企业都至关重要。 通过 TCP 分析识别漏洞 IOTA 可帮助跟踪进入网络的 TCP 连接。使用 TCP 分析仪表板有助于识别和分析这些连接。通过将目标 IP 地址设置为防火墙的外部 IP，您可以查看通过防火墙移动的所有 TCP 连接，这对于发现潜在的未授权访问企图至关重要。 重要的是要识别意外的开放端口，特别是 8080 端口，在我们的分析场景中，它不应该处于活动状态。确定不必要的开放端口后，下一步就是更新防火墙规则，阻止不必要的访问，确保更严密的安全边界。 增强加密安全： SSL/TLS 概述 除了监控 TCP 连接，IOTA 还可以分析 SSL/TLS 连接。通过使用 SSL/TLS 概述工具，他展示了网络工程师如何快速找出网络中的弱加密密码。例如，我们发现智能灯泡等物联网设备在 HTTPS 通信中使用了薄弱的密码，从而带来了潜在风险。 通过深入研究服务器的详细信息，IOTA 可以发现使用弱加密的设备、其地理位置、DNS 名称和相关 IP 地址。网络管理员可以利用这些信息隔离和解决漏洞，在所有设备上执行强加密标准。 IOTA 是一款功能强大的工具，可帮助网络工程师保持对入站连接和加密实践的控制。通过识别开放端口和弱 SSL/TLS 密码，IOTA 允许管理员主动加强网络防御，防止未经授权的访问和弱加密实践。利用 IOTA 的综合流量分析工具，在威胁造成破坏之前将其化解，从而确保安全。

云计算 有无数的好处。它使组织能够通过远程访问以极低的价格获得最高质量的服务器和设备，而不是承担最新技术的全部成本。 云计算使 组织能够使用数据存储的实用模型，为他们使用的内容付费，而不必猜测和超支存储容量。它还包括跨分布式地理购买冗余的选项，这可以提高不同位置的最终用户的速度 。 一、网络延迟 网络延迟的一个常见原因是云服务器和用户请求设备之间的地理距离请求必须经过。虽然此问题同样发生在云和本地网络中，但有一些简单的解决方案可以减少延迟。 1、 边缘计算 一种解决方案是边缘计算，它使用基于用户地理位置的服务器。 2、 多云架构 当 一家云供应 商无法提供与其员工足迹相匹配的数据中心位置时，组织还可以引入多云解决方案。在与用户位置一致的数据中心之间分配工作负载可以创建更快的连接，减少延迟，并在连接超时或链路饱和时增加切换路径的冗余。 3、 升级网络路径或设备 尽管云以按使用量付费的结构提供无限且可扩展的容量，但在迁移期间或创建备份时将初始数据传输到云中的路径仍然受网络路径容量的影响。 如果传输介质是铜缆，则与数据传输介质是光缆相比，您的容量将受到更多限制。路由器也可能是无法在不丢失数据包的情况下处理大量数据的最薄弱环节。 4、 使用“Sneakernet”进行大型数据转储 避免过度配置电路的一种选择是将数据备份通过磁带或光盘发送到 云数据 中心，以便 云提供 商直接上传。通过光盘或其他设备手动复制和传输文件的方式称为“sneakernet”。 5、 看看是否有效 您可以在命令界面中 使用 ping 或 netperf 命令 检查延迟。大多数网络监控工具都包含延迟计算。 二、停机时间 没有冗余的 云提供 商或将数据存储在 私有云设置 中会使您更容易受到服务中断的影响。 1、 单点云故障 就 私有云 而言，服务器位于一个位置，这使得网络更容易受到恶意软件、电涌、与天气相关的灾难或硬件故障的影响。这种冗余的缺乏造成了多个容易发生故障的弱点。 不要把所有鸡蛋放在同一个篮子里。数据中心可能因备用电源不足、冷却故障、水损坏或网络攻击而发生故障。 2、 错误的 云计划 “规模” 云架构中停机的另一个原因是资源不足以处理峰值用户负载。没有预见到容量饱和的组织可能签署了错误大小的云存储计划并达到了阈值。 预测云消耗比许多组织预期的更加困难。要成功实现基于消费的应用程序，需要了解应用程序迁移到云后的使用模式 三、数据丢失 1、 覆盖数据 数据可能会 被软件 更新、批量上传、用户协作项目或第三方应用程序覆盖。 2、 攻击 从上次成功备份到攻击者渗透之间的数据存在丢失、删除或损坏的风险。 这些数据也可能在勒索软件攻击中被窃取并勒索赎金。即使备份策略到位，组织也可能选择支付赎金，而不是将敏感数据泄露出去。 虽然备份允许恢复应用程序的原始状态，但组织仍然可能会因备份之间发生的几个小时的工作损失而遭受损失。我们建议在不同的地理位置至少进行两次备份，以防第一个失败。 3、 用户错误 用户可能会意外删除或更改他们有权访问以进行协作的文件。变化会产生未知的影响。例如，更改虚拟机大小会破坏本地数据。用户还可能搞砸灾难恢复计划并无意中导致数据丢失。 四、应用程序的互操作性 1、 伪装的云应用程序 云性能不佳的主要原因之一是应用程序不兼容。数据并不总是可以 跨网络 架构移植，并且许多声称具有云选项的应用程序并不是为云平台设计的。这些应用程序可能需要重写代码才能在云生态系统中更好地执行。 您的云应用程序可能是伪装的固件应用程序吗？ 2、 有限的 云集成应用程序 另一个考虑因素是应用程序与一个 云供应 商集成，但没有为其他云平台构建集成。这使得数据传输难以完成。 3、 意外的资源消耗 另一种可能性是没有充分规划资源来支持应用程序。了解 每个云 托管应用程序的带宽要求非常重要，以便在启动之前进行适当的容量规划。 五、故障排除/管理问题 1、 能见度 将数据从本地环境移动到云端可能意味着牺牲网络和应用程序流量的可见性。由于服务器是虚拟的，因此监视和预测数据存储和处理位置的性能和安全性变得具有挑战性。 2、 意外情况 云环境 可能会快速变化，组织必须在几乎没有通知的情况下适应这些更新，或者尝试执行回滚，这会占用大量资源，并且需要另一个离线期，从而影响性能。 3、 工具蔓延 发生这种情况的某些情况可能是在具有多个故障排除工具的多云环境中，这使得故障排除速度更慢且更容易出错。 4、 复杂网络 当分阶段云迁移到位、一些应用程序位于云中、以及一些应用程序在本地运行时，也可能会出现故障排除问题。这种多样化的架构可能会使监控问题难以查明。 5、 云监控以优化性能 转向多云和混合 云基础 设施的好处是不可否认的 · 降低供应商锁定的风险 · 通过调度基于地理位置的工作负载来控制成本 · 享受不同 云提供 商的最佳功能 然而，多重、混合和公共云解决方案通常缺乏NetOps和CloudOps成功管理基础设施所需的可见性水平。这就是LiveAction出现的原因。 联系我们 扫码加入虹科网络安全交流群或微信公众号，及时获取更多技术干货/应用案例。

要了解网络性能问题的原因，可见性是关键。而这四种数据类型（ 流、数据包、SNMP和API ）都在增强网络可见性方面发挥着重要作用。 流 流是通过网络发送的数据的摘要。流类型不同，可以包括NetFlow, sFlow, jFlow和IPFIX。不同的流类型在供应商灵活性方面存在限制，但所有流都具有提供网络中连接摘要的功能。客户端请求被发送到服务器，然后服务器以流记录进行响应。 您可以从流分析中学到什么？ 流分析揭示了通过网络设备的流量和流量类型。流记录包含有关源和目标IP和端口、使用的协议、发送和接收的字节以及其他信息的信息。流分析将流量记录关联起来，以识别拥堵源。使用流分析，您可以判断哪些应用程序和用户消耗了最多的带宽资源，查看特定IP地址或端口的不规则流量模式，并创建标准的网络性能指标。 虽然您可以使用流来判断问题发生的位置，但是如果您想要知道这些问题的确切原因就需要使用数据表。 数据包对于找到网络事件的根本原因至关重要。 数据包 数据包是跨越网络传输的大约1000到15000字节的小数据单元。通过任何操作，如发送文件、电子邮件或下载图像，将数据分成许多更小的数据包，可以更有效地传输数据。 每个数据包都包含顺序信息，以确保其在目的地进行正确的重组，当然也包含目的IP信息，以保证其到达正确的位置。 数据包捕获通过使用两种技术之一（网络分接和端口镜像）获取通过网络的镜像数据。 您可以从数据包捕获中学到什么？ 数据包捕获或PCAP可以帮助您深入细致的故障排除细节，并确定问题的根本原因。数据包也有助于在网络中显示威胁可见性。数据包通常是威胁检测工具的关键组成部分。 深度数据包动态（DPD）使用与AI相结合的数据包数据 ，将数据包元数据与数据包有效载荷内加密的可疑活动指标的威胁特征和特征进行比较。 SNMP SNMP是一种允许网络设备共享信息的协议。SNMP向网络中启用SNMP的设备发送称为PDU或协议数据单元的获取请求。从这些请求中接收到的数据可以查看网络连接接口、CPU以及路由器、交换机、服务器和防火墙等设备的状态。 您可以从SNMP中学到什么？ SNMP数据包括在设备上发送和接收的错误，如路由器、数据包数量、字节数、两个设备之间的连接速度，或web服务器在给定时间段内接收的请求数。 SNMP对于了解设备饱和和运行状况至关重要。 API API是一个软件层，它充当不同应用程序之间的桥梁，以集中数据并允许知识共享。例如，Jira和Salesforce之间的API允许Salesforce中的用户查看与特定客户帐户相关的未结票据或问题。这允许不同的受众获得新的数据。 你能从API数据中学到什么？ API提供对新数据的访问，并通过将来自不同应用程序和系统的数据汇集在一起以实现更准确的报告来增强网络可见性。 更多数据意味着更好的网络可见性 网络可见性对于企业来说至关重要。它允许工程师持续解决任何明显的拥塞或设备故障。 但全面的网络可见性对未来也是至关重要的。通过更好的网络趋势、标准和高峰时期数据，团队可以预测和规划新计划所需的大小。

上一期我们讨论的是如何使用Wireshark工具进行结构化搜索的技术，这一期我们将为大家进行介绍，我们该如何使用 Allegro 网络万用表来加快 pcap 分析器的工作。 前期回顾： 构建大型捕获文件（Ⅰ）——Wireshark过滤器和其他Allegro网络万用表工具 用Allegro网络万用表对流量进行预选 既然已经介绍了一些关于如何创建大型 pcap 文件以更好地掌握它们的重要技术，这第二部分将介绍 Allegro 网络万用表如何处理这一任务。 Allegro 网络万用表并不能完全取代 Wireshark。然而，它被设计为预先过滤 pcap 文件，以便用 Wireshark 进行更深入的数据包分析。 Allegro网络万用表测量流量并实时显示所有元数据；这适用于实时数据和历史网络流量。该工具的特殊之处在于其处理数据的速度。这对需要进行pcap分析的用户有利。 基本上，Allegro 网络万用表提供两种不同的功能。一方面，它可以在创建 pcap 时对流量进行单独和清晰的过滤；另一方面，现有的 pcap 文件可以上传到设备上，以便预先选择用 Wireshark 进行分析。 从 Allegro 网络万用表的数据中选择性地捕获 pcap 首先，这里讨论的是作为预过滤器的功能。通过 Allegro 网络万用表，由于广泛的过滤功能和数据关联，人们可以轻松快速地导航到流量的位置。在那里，可以直接从怀疑有错误的选定网络流量中保存一个 pcap。然后，这个大大缩小的 pcap 文件可用于 Wireshark 的快速分析。 从 Allegro 网络万用表仪表板导航到可疑故障 这种捕获功能被集成到Allegro网络万用表的所有分析模块中。从仪表板开始，你可以得到当前网络流量最重要的参数的第一份概览，你可以通过时间线和图表浏览不同的层次，更接近问题。在用户界面的大多数部分，都有一个pcap下载按钮，通过这个按钮，你可以很容易地捕获显示的、选定的网络流量作为浏览器下载，无论你想从MAC统计中下载一个pcap，还是从HTTP协议中下载一个pcap，例如： 如果你想解决一个问题，例如，为什么上周三的VoIP电话如此不稳定，只要导航到SIP模块，设置所需的时间范围，并按抖动对这个时间范围内的电话进行排序，或直接按电话号码过滤。有问题的电话现在可以通过pcap下载，以便用Wireshark进行进一步的数据包分析。 不仅可以随意预选流量，而且由于Allegro网络万用表的存在，故障排除的时间可以大大缩短，创建一个pcap的时间也缩短到了一小部分。 此外，除了基本的管理员知识外，操作该设备不需要进一步的专业知识。大多数过滤器都是预定义的，只需要进行选择。此外，操作者可以在命令行中相互组合。 将现有的 pcap 文件上传到 Allegro 工具进行过滤 Allegro网络万用表为加快使用Wireshark提供的第二个功能是上传pcaps。 如果在捕获前没有可能预先选择网络流量，例如从第三方收到要分析的pcap，那么文件可以通过USB或在浏览器中拖放的方式追溯上传到Allegro网络万用表，并可以使用该设备查看数据。 Allegro网络万用表具有非常高的导入速度，所以文件可以很快被打开。这里的特别之处在于，你可以访问已经导入的数据。这使分析的速度提高了许多倍。最重要的是，通常需要桥接的等待时间被消除了。因此，你可以留在主题上，不会有在等待时间内分心的风险。 在 Allegro Network Multimeter 中，缩小的 pcap 可以如上所述重新导出，并在 Wireshark 中进一步分析。 结论 等到打开一个pcap文件，然后确定重要的Wireshark数据已经成为过去。 第一部分文章解释了Wireshark为减少显示的数据而加入的几个过滤器功能。一些更深入的过滤器可能需要更深入的知识。 第二部分涉及Allegro Packets公司开发的Allegro网络万用表，它提供了广泛的过滤功能，只需点击几下就可以控制它们。 过滤器可以很容易地应用，无需额外的语法知识，使其易于使用。此外，Allegro 网络万用表加速了故障排除，因为可以快速确定错误。从问题区域记录的 pcap 可以减少进一步的数据包分析时间，因为 Allegro 网络万用表可以非常快速地处理和读取 pcap 文件。在读取过程中可以对数据进行分析。通常情况下，不需要使用 Wireshark 进行详细的数据包分析，因为问题可能已经被 Allegro网络万用表检测到，并确定了解决方案。

​ TCP协议的可靠性 数据包丢失是对网络的破坏，因为它导致延迟。TCP协议建立了可靠的数据传输，但掩盖了丢包的影响。TCP确保数据的传输是基于一个叫做 "滑动窗口 "的概念。这种机制控制着传输的字节序列和收到的确认。 在排序的帮助下，接收方可以通知发送方丢失的数据（如数据包丢失）。独立地讲，发送方可以通过重传定时器的到期来检测丢包。从性能分析的角度来看，必须了解丢包的重要性，以避免 "机器中的幽灵"。下面的文章探讨了这些机制的行为和性能。 ​ 编辑 重传计时器 每个传输的数据包都由发送方链接到重传计时器。如果计时器在已传输的数据段被确认之前过期，则该数据段将被声明为丢失并重新传输。在性能方面，重传定时器有两个重要特点： 初始重新传输超时 （RTO） 的默认值几乎始终为 3000 毫秒。随后，该值会根据实际路径重传时间动态调整为更真实的值。 对于数据包的后续重新传输，超时值始终加倍。 ​ 编辑 对于短数据流（例如网络流量），重传计时器用于检测数据包丢失。只有 1000 字节的消息在单个数据包中传输。当然，如果数据包丢失，接收方无法发送接收确认，因为接收方不知道丢失的数据包曾经发送过。如果数据包在 TCP 连接的早期丢失，例如在三次握手期间丢失 SYN 数据包，则数据包丢失在三秒钟内不会恢复。 三次重复的ACK 在较大的数据流中，可以在重传定时器过期前检测到丢失的数据包。这是借助于三个收到的ACK副本来完成的。这种机制通常比等待重传定时器过期更有效。如果到达的节点收到的数据包不符合顺序，它就会发出重复的ACKs。失序的数据包可以是在丢失的数据包数据之后发送的数据包。重复的ACK包包含接收方仍在等待的准确序列号。当发送节点收到第三个重复的ACK时，它认为有关的数据包不仅被延迟，而且实际上已经丢失。结果，丢失的数据包被重新传输。如果发生这种情况，发件人会假定网络中存在拥堵，并将拥堵窗口减少50%，以积极应对拥堵。慢速启动机制会缓慢增加CWD值。 例如，如果一个服务器向客户传输一个大文件，由于慢速启动机制，发送节点的吞吐量提升得更慢。当拥塞窗口达到24时，数据包丢失会被一个三重复的ACK检测到。随后，服务器重传丢失的数据，CWD值减少到12。慢速启动机制将在这个时候重新启用其拥塞避免模式。这种行为在现代网络中经常看到。 ​ 编辑 结论和纠正措施 显而易见的是，防止因拥堵造成的数据包丢失将提高性能。然而，这只有通过减少其他流量的拥堵才能实现，可以通过以下方式实现： 用于排队优先的QoS政策 减少总流量或增加带宽 如果数据包丢失是由于其他情况造成的，如网络接口故障、队列配置错误或电缆连接不良，则必须确保TCP连接不会被不必要地关闭，不被不必要地超时，人们还可以减少重传超时的值。 扩展阅读 虹科 Allegro 介绍 虹科 Allegro网络万用表 - 网络故障排除的一体化解决方案 ​ 编辑 ​ 编辑 虹科Allegro网络万用表是是先进的网络诊断工具，通过浏览器中的Web界面访问分析数据。简单部署，无需配置，只需要点击几下就可检测到网络问题。可以针对问题区域或错误，并可以从预算的流量中捕获PCAP以进一步分析。 一体化分析设备 软件永久许可（全功能可用） L2-L7全面分析 即插即用，无需配置 多种型号可选，1-200Gbit/s，满足不同规模网络需求 高速全流量捕获分析，回溯分析 中文界面支持 ​