专栏首页网络安全与可视化为什么时间戳对网络流量数据包捕获很重要?
原创

为什么时间戳对网络流量数据包捕获很重要?

网络上发生的所有事件都是时间敏感的,这就是为什么在讨论数据包捕获和分析时,给数据包加上时间戳非常重要。 此功能不仅可以防止和分析网络攻击,而且还能让你检查趋势和网络延迟。

网络数据包时间戳可用于调查以某种方式影响网络性能的事件。例如,跟踪数据包的到达可让你了解原始流量,以便可以计算诸如性能指标之类的链路指标,或诸如TCP流吞吐量、延迟和抖动之类的应用程序性能。

时间戳的必要性

日益脆弱的数字世界使网络安全成为全球大小企业的优先考虑事项。每一个安全团队至少都遇到过一次严重的虚拟威胁。

为了能够抵抗(甚至阻止)虚拟攻击或系统错误,这些团队需要对他们的网络具有完全的访问权限和可见性。换句话说,他们需要能够捕获和关联数据包的产品,以便有机会及早发现并防止威胁。

因此,高精度地给数据包加上时间戳的能力,对于了解逐包级别网络中正在发生的事情至关重要。准确的时间信息对于法律和刑事调查也是非常重要,准确性要求很高的法医分析也同样适用。

高效的可视化平台应包括高级网络访问设备(包括网络TAP和网络数据包代理),以便于将数据包从源转发到目的地。几乎所有这些功能都需要精确的时序,换句话说,它们需要支持时间戳。

时间戳是什么意思

时间戳是一系列字符,可以通过为您提供实际的日期和时间(有时精确到几分之一秒)来帮助您识别特定事件的发生时间。

简而言之,时间戳是与传入和事件传出数据包关联的本地系统时间的快照。用于指定数据包通过网络访问设备转发的时间。

它可以分为入口时间戳——指定设备接收到数据包的第一位的时间,以及出口时间戳——指定从设备发送数据包的第一位的时间。

时间不正确的数据包会导致识别和解决问题的延迟,因此必须加盖时间戳。

使用某些TAP时,根据数据包的大小不同,它们可能会失去顺序。通常,这可以通过网络堆栈解决,但是在捕获方案中则不是这种情况。

知道TAP接收到数据包的第一位的确切时间(入口时间戳记),可以确保在分析Pcap文件时,无序处理的数据包不会成为问题所在。有了正确的时间戳记,就可以使用Wireshark这样的数据包分析器工具轻松地对它们进行分类。

网络安全的基本功能

开始捕获数据包时的一项重要要求是,知道捕获数据包的确切日期和时间。这在许多应用程序和/或涉及不同时区的情况下尤其重要,例如合规性、故障排除、容量规划、入侵检测和网络攻击预防等。

因此,高级捕获设备必须在其硬件中内置至少纳秒精度的时间戳。这样可以确保数据包包含其在网络上出现的实际时间。

在实际数据包上标记的特定时间,还可以帮助您测量网络延迟和性能监视。 此外,对于采样和分析,或在日志和报告中记录特定事件发生的时间都非常重要。

在解决网络和应用程序问题或执行安全取证时,实时查看数据非常实用。在网络危机期间,网络和系统团队互相指责,因为网络和服务器数据之间缺少与数据包到数据包响应时间相匹配的任何关联。

拥有一个能够实时关联网络上的数据包,并具有时间戳功能的数据包捕获工具,是确保能够快速解决问题的关键。它还可以确保问题得到立即识别,因此不会有升级的机会。

下一代网络数据包代理有什么功能?

下一代网络数据包代理(NGNPB),或者叫网络流量分流过滤设备,总吞吐量高达6.4Tbps。除了标准的负载均衡,流量复制,等功能外,下一代网络数据包代理NGNPB还提供了更高级的高能:例如数据包切片、GTP IP过滤、ERSPAN隧道和解隧道、GTP相关性、数据包重复数据删除和时间戳。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 网络流量监控:数据包与Flow,选择哪个最好?

    在监控部署方案上,最困难的一步是选择哪里是必须监控的最佳点,以及观察这些流量的最佳策略是什么。主要的选择基本上是:

    虹科网络可视化与安全
  • NetFlow & Packet Data & Metadata: 有什么不同呢?

    在您复杂的IT基础设施中提供全面的可视性并不容易。这就是为什么每当提出网络分析的问题时,如何确定实际问题是什么总是一个挑战。而随着时间的推移,网络工程师们仍然面...

    虹科网络可视化与安全
  • 使用n2disk和PF_RING构建一个(便宜的)2×10 Gbit(连续)数据包记录器

    连续数据包记录器是捕获网络流量并将其保存到磁盘的设备。术语 “连续 “意味着这项活动是 “连续 “进行的,直到设备处于活动状态,而不仅仅是几分钟。在ntop,我...

    虹科网络可视化与安全
  • 网络测量之EverFlow(SIGCOMM-2015)

    SIGCOMM 2015年中,由微软研究院发表了题为《Packet-Level Telemetry in Large Datacenter Networks》的...

    我是东东东
  • 如何解决web系统session劫持

    往期精选 session劫持是一种比较复杂的攻击方法。大部分互联网上的电脑多存在被攻击的危险。这是一种劫持tcp协议的方法,所以几乎所有的局域网,都存在被劫持 ...

    企鹅号小编
  • OSI第3层:网络层

    4) 解封。(网络层解封该数据包,然后将数据包中包含的第 4 层 PDU 向上传 送到传输层的相应服务。)

    py3study
  • 基于Sdn和cnn的网络数据包的识别

    5G时代的到来,带来的不仅仅是庞大的流量,卓越的速度,优越的性能。还有不可计数的数据包。这时对于有危害数据流量的检测将变得尤为重要。传统网络检测数据报的可用性目...

    SDNLAB
  • TCP三次握手详解:传输控制块TCB以及积极和消极的连接建立方式

    TCP协议目的是为了保证数据能在两端准确连续的流动,可以想象两个建立起TCP通道的设备就如同接起了一根水管,数据就是水管中的水由一头流向另一头。然而TCP为了能...

    望月从良
  • Linux基础服务之防火墙

    上面的5点就是Linux防火墙发挥作用的地点,在netfilter中由5个链表示,分别是:

    懒人的小脑
  • iptables

    工作原理: ? 基础: 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空...

    千往

扫码关注云+社区

领取腾讯云代金券