这一节介绍抓包工作原理,以及在现代企业中要实现7*24小时实时数据包采集该如何的部署相关产品的概要信息。
抓包工作原理
数据包采集过程涉及软件和硬件之间的协作过程,主要分为3个过程。
第一, 采集。数据包在网络传输介质中以原始的二进制方式传输,抓包软件将采集端口设置为混杂模式,直接采集二进制数据。
第二, 解码。数据包采集软件将采集到的二进制数据通过解码方式,保存为基本的具有可读性的文本格式。
第三, 分析。对采集和解码转换后的数据进行展示。这个阶段的工作常见于基于命令行的文件内容显示,或基于图形界面的协议分析工具查看。
上述三个阶段是我们常见的基于TCPDUMP或便携式协议分析软件采集包文并分析的过程。但这种工作过程存在诸多的限制,如数据包采集环境的特定性,数据包采集的时效性及数据存储和分析的高性能要求等等。
简单的说,类似Wireshark这种便携式协议分析工具,虽然具有强大的解码分析能力,但在当今复杂的网络环境下,高吞吐量的数据传输和更加快速定位故障的需求下,无论是数据采集能力,还是更为友好直观的分析展现能力,便携式分析软件都显得苍白无力。这时就需要专业的企业级网络流量分析系统来完成该工作。
企业级网络数据包采集方案
企业级网络流量分析系统,通过探针设备来收集和存储指定链路的全部流量数据,现无人值守,对关键业务系统、链路进行7×24小时、全方位的流量监控,智能学习关键性能指标的基线值,当业务或网络相关性能达到阈值时,进行主动预警,并可以实时/事后对需要的原始包进行下载和分析解码,快速定位问题原因。
系统工作方式
系统即探针,探