กลับไปหน้าบทความ

อ่าน 3 นาที

อุปกรณ์จับแพ็กเก็ต

ความปลอดภัยเครือข่ายคอมพิวเตอร์/ฮาร์ดแวร์เครือข่าย/แพ็คเก็ต (เทคโนโลยีสารสนเทศ)

อุปกรณ์จับแพ็กเก็ตเป็นอุปกรณ์แบบสแตนด์อโลนที่ทำการจับแพ็กเก็ต อุปกรณ์จับแพ็กเก็ตสามารถติดตั้งได้ทุกที่บนเครือข่าย อย่างไรก็ตาม โดยทั่วไปจะติดตั้งที่ทางเข้าของเครือข่าย (เช่น...

อุปกรณ์จับแพ็กเก็ต

อุปกรณ์จับแพ็กเก็ตเป็นอุปกรณ์แบบสแตนด์อโลนที่ทำการจับแพ็กเก็ต [ 1 ] อุปกรณ์จับแพ็กเก็ตสามารถติดตั้งได้ทุกที่บนเครือข่าย อย่างไรก็ตาม โดยทั่วไปจะติดตั้งที่ทางเข้าของเครือข่าย (เช่น การเชื่อมต่ออินเทอร์เน็ต) และด้านหน้าของอุปกรณ์ที่สำคัญ เช่น เซิร์ฟเวอร์ที่มีข้อมูลที่ละเอียดอ่อน

โดยทั่วไป อุปกรณ์จับแพ็กเก็ตจะจับและบันทึกแพ็กเก็ตเครือข่ายทั้งหมดอย่างครบถ้วน (ทั้งส่วนหัวและส่วนข้อมูล) อย่างไรก็ตาม อุปกรณ์บางชนิดอาจถูกกำหนดค่าให้จับแพ็กเก็ตย่อยของการรับส่งข้อมูลเครือข่ายตามตัวกรองที่ผู้ใช้กำหนดได้ สำหรับแอปพลิเคชันจำนวนมาก โดยเฉพาะอย่างยิ่งการวิเคราะห์ทางนิติวิทยาศาสตร์ของเครือข่ายและการตอบสนองต่อเหตุการณ์ การจับแพ็กเก็ตทั้งหมดเป็นสิ่งสำคัญ แม้ว่าการจับแพ็กเก็ตแบบกรองอาจถูกนำมาใช้ในบางครั้งเพื่อวัตถุประสงค์ในการรวบรวมข้อมูลที่เฉพาะเจาะจงและจำกัด[ 2 ]

การปรับใช้

ข้อมูลเครือข่ายที่อุปกรณ์จับแพ็กเก็ตจับได้นั้นขึ้นอยู่กับตำแหน่งและวิธีการติดตั้งอุปกรณ์บนเครือข่าย มีสองทางเลือกสำหรับการติดตั้งอุปกรณ์จับแพ็กเก็ตบนเครือข่าย ทางเลือกหนึ่งคือการเชื่อมต่ออุปกรณ์เข้ากับพอร์ต SPAN ( การจำลองพอร์ต ) บนสวิตช์เครือข่ายหรือเราเตอร์ ทางเลือกที่สองคือการเชื่อมต่ออุปกรณ์แบบอินไลน์ เพื่อให้กิจกรรมเครือข่ายตามเส้นทางเครือข่ายผ่านอุปกรณ์ (มีการกำหนดค่าคล้ายกับnetwork tapแต่ข้อมูลจะถูกจับและจัดเก็บโดยอุปกรณ์จับแพ็กเก็ตแทนที่จะส่งต่อไปยังอุปกรณ์อื่น) [ 3 ]

เมื่อเชื่อมต่อผ่านพอร์ต SPAN อุปกรณ์จับแพ็กเก็ตอาจรับและบันทึกกิจกรรมอีเธอร์เน็ต/IP ทั้งหมดสำหรับพอร์ตทั้งหมดของสวิตช์หรือเราเตอร์[ 4 ]

เมื่อเชื่อมต่อแบบอินไลน์ อุปกรณ์จับแพ็กเก็ตจะจับเฉพาะทราฟฟิกเครือข่ายที่เดินทางระหว่างสองจุด นั่นคือทราฟฟิกที่ผ่านสายเคเบิลที่อุปกรณ์จับแพ็กเก็ตเชื่อมต่ออยู่[ 3 ]

โดยทั่วไปแล้ว การติดตั้งอุปกรณ์ดักจับแพ็กเก็ตมีสองแนวทางหลัก ได้แก่ แบบรวมศูนย์ และแบบกระจายศูนย์

ส่วนกลาง

ด้วยวิธีการรวมศูนย์ อุปกรณ์จับแพ็กเก็ตความเร็วสูงความจุสูงหนึ่งเครื่องจะเชื่อมต่อกับจุดรวมข้อมูล ข้อดีของวิธีการรวมศูนย์คือ ด้วยอุปกรณ์เพียงเครื่องเดียว คุณจะสามารถมองเห็นปริมาณการรับส่งข้อมูลทั้งหมดของเครือข่ายได้ อย่างไรก็ตาม วิธีการนี้สร้างจุดล้มเหลวเพียงจุดเดียวซึ่งเป็นเป้าหมายที่น่าดึงดูดใจสำหรับแฮกเกอร์ นอกจากนี้ ยังต้องออกแบบเครือข่ายใหม่เพื่อนำปริมาณการรับส่งข้อมูลไปยังอุปกรณ์ และวิธีการนี้มักมีค่าใช้จ่ายสูง[ 4 ]

กระจายอำนาจ

ด้วยวิธีการกระจายอำนาจ คุณจะวางอุปกรณ์หลายตัวไว้รอบเครือข่าย โดยเริ่มจากจุดเข้าและดำเนินการต่อไปยังส่วนเครือข่ายที่ลึกกว่า เช่น เวิร์กกรุ๊ป ข้อดี ได้แก่ ไม่จำเป็นต้องกำหนดค่าเครือข่ายใหม่ ติดตั้งง่าย มีจุดสังเกตการณ์หลายจุดสำหรับการตรวจสอบการตอบสนองต่อเหตุการณ์ ปรับขนาดได้ ไม่มีจุดล้มเหลวเพียงจุดเดียว – หากเครื่องหนึ่งล้มเหลว เครื่องอื่นก็ยังใช้งานได้ หากรวมกับการมองไม่เห็นทางอิเล็กทรอนิกส์ วิธีนี้แทบจะขจัดอันตรายจากการเข้าถึงโดยไม่ได้รับอนุญาตจากแฮกเกอร์ ต้นทุนต่ำ ข้อเสีย: อาจต้องบำรุงรักษาอุปกรณ์หลายตัวเพิ่มขึ้น[ 4 ]

ในอดีต อุปกรณ์จับแพ็กเก็ตถูกใช้งานอย่างจำกัด มักจะติดตั้งเฉพาะที่จุดเข้าสู่เครือข่ายเท่านั้น ปัจจุบัน อุปกรณ์จับแพ็กเก็ตสามารถติดตั้งได้อย่างมีประสิทธิภาพมากขึ้นในหลายจุดทั่วเครือข่าย เมื่อดำเนินการตอบสนองต่อเหตุการณ์ ความสามารถในการมองเห็นการไหลของข้อมูลเครือข่ายจากมุมมองต่างๆ เป็นสิ่งจำเป็นอย่างยิ่งในการลดเวลาในการแก้ไขปัญหาและจำกัดขอบเขตของส่วนต่างๆ ของเครือข่ายที่ได้รับผลกระทบ การวางอุปกรณ์จับแพ็กเก็ตไว้ที่จุดเข้าและด้านหน้าของแต่ละเวิร์กกรุ๊ป จะทำให้การติดตามเส้นทางการส่งข้อมูลเฉพาะเจาะจงลึกเข้าไปในเครือข่ายทำได้ง่ายขึ้นและรวดเร็วยิ่งขึ้น นอกจากนี้ อุปกรณ์ที่วางไว้ด้านหน้าเวิร์กกรุ๊ปจะแสดงการส่งข้อมูลภายในเครือข่ายที่อุปกรณ์ที่ตั้งอยู่ที่จุดเข้าไม่สามารถจับได้[ 3 ]

ความจุ

อุปกรณ์จับแพ็กเก็ตมีความจุตั้งแต่ 500 GB ถึง 192 TB และมากกว่านั้น มีเพียงไม่กี่องค์กรที่มีการใช้งานเครือข่ายสูงมากเท่านั้นที่จะใช้ประโยชน์จากความจุระดับสูงได้ องค์กรส่วนใหญ่จะสามารถใช้งานอุปกรณ์ที่มีความจุตั้งแต่ 1 TB ถึง 4 TB ได้อย่างเพียงพอ[ 5 ]

หลักการโดยทั่วไปในการเลือกความจุคือควรจัดสรร 1 GB ต่อวันสำหรับผู้ใช้งานหนัก และ 1 GB ต่อเดือนสำหรับผู้ใช้งานทั่วไป สำหรับสำนักงานทั่วไปที่มีพนักงาน 20 คนและมีการใช้งานโดยเฉลี่ย 1 TB จะเพียงพอสำหรับประมาณ 1 ถึง 4 ปี[ 3 ]

อัตราส่วนความเร็วลิงก์ 100/0100 เมกะบิต/วินาที1 กิกะบิต/วินาที10 กิกะบิต/วินาที40 กิกะบิต/วินาที
ข้อมูลบนดิสก์/วินาที12.5 MB125 MB1.25 GB5 GB
ข้อมูลบนดิสก์/นาที750 MB7.5 GB75 GB300 GB
ข้อมูลบนดิสก์/ชั่วโมง45 GB450 GB4.5 เทราไบต์18 TB

อัตราส่วน 100/0 หมายถึงปริมาณการรับส่งข้อมูลแบบซิมเพล็กซ์บนลิงก์จริง ซึ่งจะช่วยให้คุณมีปริมาณการรับส่งข้อมูลมากยิ่งขึ้น

คุณสมบัติ

การจับแพ็กเก็ตแบบกรองเทียบกับการจับแพ็กเก็ตแบบเต็ม

อุปกรณ์จับแพ็กเก็ตแบบเต็มรูปแบบจะจับและบันทึกกิจกรรม Ethernet/IP ทั้งหมด ในขณะที่อุปกรณ์จับแพ็กเก็ตแบบกรองจะจับเฉพาะส่วนย่อยของทราฟฟิกตามชุดตัวกรองที่ผู้ใช้กำหนดได้ เช่น ที่อยู่ IP ที่อยู่ MACหรือโปรโตคอล โดยทั่วไปแล้ว ควรใช้อุปกรณ์จับแพ็กเก็ตแบบเต็มรูปแบบ เว้นแต่จะใช้อุปกรณ์จับแพ็กเก็ตเพื่อวัตถุประสงค์เฉพาะที่ครอบคลุมโดยพารามิเตอร์ตัวกรอง มิฉะนั้นอาจเสี่ยงต่อการพลาดข้อมูลสำคัญ โดยเฉพาะอย่างยิ่งเมื่อใช้อุปกรณ์จับแพ็กเก็ตเพื่อการตรวจสอบทางนิติวิทยาศาสตร์เครือข่ายหรือเพื่อวัตถุประสงค์ด้านความปลอดภัยทางไซเบอร์ การจับทุกอย่างเป็นสิ่งสำคัญยิ่ง เพราะแพ็กเก็ตใด ๆ ที่ไม่ได้จับในทันทีคือแพ็กเก็ตที่หายไปตลอดกาล เป็นไปไม่ได้ที่จะทราบล่วงหน้าถึงลักษณะเฉพาะของแพ็กเก็ตหรือการส่งข้อมูลที่จำเป็น โดยเฉพาะอย่างยิ่งในกรณีของภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT) APT และเทคนิคการแฮ็กอื่น ๆ อาศัยความสำเร็จจากการที่ผู้ดูแลระบบเครือข่ายไม่รู้ว่าพวกมันทำงานอย่างไร และด้วยเหตุนี้จึงไม่มีวิธีแก้ปัญหาเพื่อต่อต้านพวกมัน[ 3 ]

การดักจับแพ็กเก็ตอัจฉริยะ

การดักจับแพ็กเก็ตอัจฉริยะใช้การเรียนรู้ของเครื่องเพื่อกรองและลดปริมาณการรับส่งข้อมูลเครือข่ายที่ดักจับได้ การดักจับแพ็กเก็ตแบบกรองแบบดั้งเดิมอาศัยกฎและนโยบายที่กำหนดค่าด้วยตนเองเพื่อดักจับการรับส่งข้อมูลที่เป็นอันตรายทั้งหมด การดักจับแพ็กเก็ตอัจฉริยะใช้โมเดลการเรียนรู้ของเครื่อง รวมถึงคุณลักษณะจาก ฟีด ข่าวกรองภัยคุกคามทางไซเบอร์เพื่อกำหนดเป้าหมายและดักจับการรับส่งข้อมูลที่เป็นภัยคุกคามมากที่สุดอย่างเป็นวิทยาศาสตร์ เทคนิคการเรียนรู้ของเครื่องสำหรับการตรวจจับการบุกรุกเครือข่าย[ 6 ] [ 7 ] การจำแนกประเภท การรับส่งข้อมูล[ 8 ]และการตรวจจับความผิดปกติ[ 9 ]ถูกนำมาใช้เพื่อระบุการรับส่งข้อมูลที่เป็นอันตรายที่อาจเกิดขึ้นเพื่อรวบรวม

การจัดเก็บข้อมูลแบบเข้ารหัสเทียบกับการจัดเก็บข้อมูลแบบไม่เข้ารหัส

อุปกรณ์จับแพ็กเก็ตบางชนิดเข้ารหัสข้อมูลที่จับได้ก่อนบันทึกลงดิสก์ ในขณะที่บางชนิดไม่เข้ารหัส เมื่อพิจารณาถึงขอบเขตของข้อมูลที่เดินทางผ่านเครือข่ายหรือการเชื่อมต่ออินเทอร์เน็ต และอย่างน้อยส่วนหนึ่งของข้อมูลนั้นอาจถือว่ามีความละเอียดอ่อน การเข้ารหัสจึงเป็นแนวทางที่ดีในสถานการณ์ส่วนใหญ่เพื่อรักษาความปลอดภัยของข้อมูลที่จับได้ การเข้ารหัสยังเป็นองค์ประกอบสำคัญของการตรวจสอบความถูกต้องของข้อมูลเพื่อวัตถุประสงค์ในการตรวจสอบทางนิติวิทยาศาสตร์ของข้อมูล/เครือข่าย[ 3 ]

ความเร็วในการจับภาพต่อเนื่องเทียบกับความเร็วในการจับภาพสูงสุด

ความเร็วในการจับภาพอย่างต่อเนื่องคืออัตราที่อุปกรณ์จับภาพแพ็กเก็ตสามารถจับภาพและบันทึกแพ็กเก็ตได้โดยไม่หยุดชะงักหรือมีข้อผิดพลาดเป็นเวลานาน ซึ่งแตกต่างจากอัตราการจับภาพสูงสุด ซึ่งเป็นความเร็วสูงสุดที่อุปกรณ์จับภาพแพ็กเก็ตสามารถจับภาพและบันทึกแพ็กเก็ตได้ ความเร็วในการจับภาพสูงสุดสามารถคงไว้ได้เพียงช่วงเวลาสั้นๆ จนกว่าบัฟเฟอร์ของอุปกรณ์จะเต็มและเริ่มสูญเสียแพ็กเก็ต อุปกรณ์จับภาพแพ็กเก็ตหลายตัวมีอัตราการจับภาพสูงสุดเท่ากันที่ 1 Gbit/s แต่ความเร็วในการจับภาพอย่างต่อเนื่องที่แท้จริงจะแตกต่างกันอย่างมากในแต่ละรุ่น[ 3 ] [ 10 ]

หน่วยความจำถาวรเทียบกับหน่วยความจำที่เขียนทับได้

อุปกรณ์จับแพ็กเก็ตที่มีหน่วยความจำถาวรเหมาะอย่างยิ่งสำหรับการตรวจสอบทางนิติวิทยาศาสตร์เครือข่ายและการเก็บรักษาบันทึกถาวร เนื่องจากข้อมูลที่ถูกจับได้ไม่สามารถเขียนทับ เปลี่ยนแปลง หรือลบได้ ข้อเสียเพียงอย่างเดียวของหน่วยความจำถาวรคือ ในที่สุดอุปกรณ์จะเต็มและต้องเปลี่ยนใหม่ อุปกรณ์จับแพ็กเก็ตที่มีหน่วยความจำที่เขียนทับได้นั้นจัดการได้ง่ายกว่า เพราะเมื่อถึงความจุแล้ว อุปกรณ์จะเริ่มเขียนทับข้อมูลที่ถูกจับได้ที่เก่าที่สุดด้วยข้อมูลใหม่ อย่างไรก็ตาม ผู้ดูแลระบบเครือข่ายมีความเสี่ยงที่จะสูญเสียข้อมูลการจับที่สำคัญเมื่อข้อมูลถูกเขียนทับ โดยทั่วไปแล้ว อุปกรณ์จับแพ็กเก็ตที่มีความสามารถในการเขียนทับนั้นมีประโยชน์สำหรับการตรวจสอบหรือทดสอบอย่างง่าย ซึ่งไม่จำเป็นต้องมีบันทึกถาวร การบันทึกถาวรที่ไม่สามารถเขียนทับได้เป็นสิ่งจำเป็นสำหรับการรวบรวมข้อมูลทางนิติวิทยาศาสตร์เครือข่าย[ 4 ​​]

GbE เทียบกับ 10 GbE

ธุรกิจส่วนใหญ่ใช้ เครือข่ายความเร็ว Gigabit Ethernetและจะยังคงใช้ต่อไปอีกสักระยะ[ 11 ]หากธุรกิจตั้งใจที่จะใช้อุปกรณ์จับแพ็กเก็ตแบบรวมศูนย์เพื่อรวบรวมข้อมูลเครือข่ายทั้งหมด ก็อาจจำเป็นต้องใช้ อุปกรณ์จับแพ็กเก็ต 10 GbEเพื่อจัดการกับปริมาณข้อมูลจำนวนมากที่เข้ามาจากทั่วทั้งเครือข่าย วิธีที่มีประสิทธิภาพมากกว่าคือการใช้อุปกรณ์จับแพ็กเก็ตแบบอินไลน์ 1 Gbit/s หลายตัวที่วางไว้อย่างมีกลยุทธ์รอบเครือข่าย เพื่อไม่จำเป็นต้องออกแบบเครือข่ายกิกะบิตใหม่เพื่อให้เข้ากับอุปกรณ์10 GbE [ 10 ]

ความปลอดภัยของข้อมูล

เนื่องจากอุปกรณ์จับแพ็กเก็ตจะจับและจัดเก็บข้อมูลจำนวนมากเกี่ยวกับกิจกรรมเครือข่าย รวมถึงไฟล์[ 12 ]อีเมล และการสื่อสารอื่นๆ จึงอาจกลายเป็นเป้าหมายที่น่าสนใจสำหรับการแฮ็กได้ อุปกรณ์จับแพ็กเก็ตที่ใช้งานเป็นระยะเวลานานควรมีคุณสมบัติด้านความปลอดภัยเพื่อปกป้องข้อมูลเครือข่ายที่บันทึกไว้จากการเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต หากการใช้งานอุปกรณ์จับแพ็กเก็ตทำให้เกิดความกังวลเพิ่มเติมเกี่ยวกับความปลอดภัยมากเกินไป ต้นทุนในการรักษาความปลอดภัยอาจมากกว่าผลประโยชน์ วิธีที่ดีที่สุดคือให้อุปกรณ์จับแพ็กเก็ตมีคุณสมบัติด้านความปลอดภัยในตัว คุณสมบัติด้านความปลอดภัยเหล่านี้อาจรวมถึงการเข้ารหัส หรือวิธีการ "ซ่อน" การปรากฏตัวของอุปกรณ์บนเครือข่าย ตัวอย่างเช่น อุปกรณ์จับแพ็กเก็ตบางชนิดมี "การมองไม่เห็นทางอิเล็กทรอนิกส์" ซึ่งมีโปรไฟล์เครือข่ายที่ซ่อนเร้นโดยไม่จำเป็นต้องใช้หรือใช้งานที่อยู่ IP หรือ MAC [ 4 ]

แม้ว่าการเชื่อมต่ออุปกรณ์จับแพ็กเก็ตผ่านพอร์ต SPAN จะดูเหมือนทำให้มีความปลอดภัยมากขึ้น แต่อุปกรณ์จับแพ็กเก็ตก็ยังคงต้องเชื่อมต่อกับเครือข่ายเพื่อให้สามารถจัดการและเรียกค้นข้อมูลได้ แม้ว่าจะไม่สามารถเข้าถึงได้ผ่านลิงก์ SPAN แต่อุปกรณ์จะสามารถเข้าถึงได้ผ่านลิงก์การจัดการ[ 3 ]

แม้จะมีข้อดี แต่ความสามารถในการควบคุมอุปกรณ์จับแพ็กเก็ตจากเครื่องระยะไกลก็ก่อให้เกิดปัญหาด้านความปลอดภัยที่อาจทำให้อุปกรณ์มีความเสี่ยง[ 13 ]อุปกรณ์จับแพ็กเก็ตที่อนุญาตให้เข้าถึงจากระยะไกลควรมีระบบที่แข็งแกร่งเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต วิธีหนึ่งในการทำเช่นนี้คือการรวมการปิดใช้งานด้วยตนเอง เช่น สวิตช์หรือตัวสลับที่อนุญาตให้ผู้ใช้ปิดใช้งานการเข้าถึงจากระยะไกลได้ วิธีแก้ปัญหาง่ายๆ นี้มีประสิทธิภาพมาก เนื่องจากเป็นไปได้ยากที่แฮ็กเกอร์จะเข้าถึงอุปกรณ์ทางกายภาพเพื่อสลับสวิตช์ได้ง่ายๆ[ 3 ]

ข้อพิจารณาสุดท้ายคือความปลอดภัยทางกายภาพ คุณสมบัติการรักษาความปลอดภัยเครือข่ายทั้งหมดในโลกจะไร้ประโยชน์หากใครบางคนสามารถขโมยอุปกรณ์จับแพ็กเก็ตหรือทำสำเนาอุปกรณ์นั้นและเข้าถึงข้อมูลที่จัดเก็บไว้ได้อย่างง่ายดาย การเข้ารหัสเป็นหนึ่งในวิธีที่ดีที่สุดในการแก้ไขปัญหานี้ แม้ว่าอุปกรณ์จับแพ็กเก็ตบางชนิดจะมีตัวเรือนป้องกันการงัดแงะด้วยก็ตาม[ 3 ]

ดูเพิ่มเติม

เอกสารอ้างอิง

  1. ^ "การดักจับแพ็กเก็ตเครือข่ายคืออะไร?" . www.endace.com . 2023.
  2. ^เชอร์ริ เดวิดอฟฟ์. "การวิเคราะห์หลักฐานเครือข่าย: การติดตามแฮกเกอร์ผ่านโลกไซเบอร์" . สืบค้นเมื่อ2012-07-08 .
  3. ^ a b c d e f g h i j Vacca, John R. (2013-08-26). ความปลอดภัยของเครือข่ายและระบบ . Elsevier. ISBN 978-0-12-416695-0.
  4. ^ a b c d e Vacca, John R. (2012-11-05). คู่มือความปลอดภัยของคอมพิวเตอร์และสารสนเทศ . Newnes. ISBN 978-0-12-394612-6.
  5. ^ "ความจุในการจัดเก็บข้อมูล - อุปกรณ์จับแพ็กเก็ต IPCopper" . www.ipcopper.com . สืบค้นเมื่อ2020-12-04 .
  6. ^ "KDD Cup 1999: การตรวจจับการบุกรุกเครือข่ายคอมพิวเตอร์" . SIGKDD . สืบค้นเมื่อ17 มิถุนายน 2019 .
  7. ^ Buczak, Anna; Guven, Erhan (26 ตุลาคม 2015). "การสำรวจวิธีการขุดข้อมูลและการเรียนรู้ของเครื่องสำหรับการตรวจจับการบุกรุกด้านความปลอดภัยทางไซเบอร์" IEEE Communications Surveys & Tutorials . 18 (2): 1153– 1176. doi : 10.1109/COMST.2015.2494502 . S2CID 206577177 . 
  8. ^ Li, Wei; Moore, Andrew W. (24–26 ตุลาคม 2550). แนวทางการเรียนรู้ของเครื่องจักรเพื่อการจำแนกประเภทการจราจรอย่างมีประสิทธิภาพ 2007 การประชุมวิชาการนานาชาติครั้งที่ 15 ว่าด้วยการสร้างแบบจำลอง การวิเคราะห์ และการจำลองระบบคอมพิวเตอร์และโทรคมนาคม หน้า  310–317 . CiteSeerX 10.1.1.219.6221 . doi : 10.1109/MASCOTS.2007.2 . ISBN  978-1-4244-1853-4. S2CID  2037709 .
  9. ^ Ahmed, Tarem; Oreshkin, Boris; Coates, Mark (10 เมษายน 2550). แนวทางการเรียนรู้ของเครื่องในการตรวจจับความผิดปกติของเครือข่าย การประชุมเชิงปฏิบัติการครั้งที่สองเกี่ยวกับการแก้ปัญหาของระบบคอมพิวเตอร์ด้วยเทคนิคการเรียนรู้ของเครื่อง (SysML07) สืบค้นเมื่อ17 มิถุนายน 2562
  10. ^ a b "Packet Analyzer - เครื่องมือวิเคราะห์และสแกนเครือข่าย | SolarWinds" . www.solarwinds.com . สืบค้นเมื่อ2020-12-04 .
  11. ^ "กิกะบิตอีเธอร์เน็ต – มันคืออนาคตหรือไม่?" . ComputerWeekly.com . สืบค้นเมื่อ2020-12-04 .
  12. ^ Erik Hjelmvik (2008). "การวิเคราะห์ความปลอดภัยเครือข่ายแบบพาสซีฟด้วย NetworkMiner" . Forensic Focus. เก็บถาวรจากต้นฉบับเมื่อ 2012-02-23 . สืบค้นเมื่อ2012-07-08 .
  13. ^ Mike Pilkington (2010). "การปกป้องรหัสผ่านผู้ดูแลระบบระหว่างการตอบสนองระยะไกลและการตรวจสอบทางนิติวิทยาศาสตร์" . SANS . สืบค้นเมื่อ2012-07-08 .

สรุปเนื้อหา

ข้อมูลสำคัญจากบทความ

ข้อมูลสำคัญเกี่ยวกับ อุปกรณ์จับแพ็กเก็ต

อุปกรณ์จับแพ็กเก็ตเป็นอุปกรณ์แบบสแตนด์อโลนที่ทำการจับแพ็กเก็ต อุปกรณ์จับแพ็กเก็ตสามารถติดตั้งได้ทุกที่บนเครือข่าย อย่างไรก็ตาม โดยทั่วไปจะติดตั้งที่ทางเข้าของเครือข่าย (เช่น...

การปรับใช้

ข้อมูลเครือข่ายที่อุปกรณ์จับแพ็กเก็ตจับได้นั้นขึ้นอยู่กับตำแหน่งและวิธีการติดตั้งอุปกรณ์บนเครือข่าย มีสองทางเลือกสำหรับการติดตั้งอุปกรณ์จับแพ็กเก็ตบนเครือข่าย ทางเลือกหนึ่งคือการเชื่อมต่ออุปกรณ์เข้ากับพอร์ต SPAN ( การจำลองพอร์ต ) บนสวิตช์เครือข่ายหรือเราเตอร์...

ส่วนกลาง

ด้วยวิธีการรวมศูนย์ อุปกรณ์จับแพ็กเก็ตความเร็วสูงความจุสูงหนึ่งเครื่องจะเชื่อมต่อกับจุดรวมข้อมูล ข้อดีของวิธีการรวมศูนย์คือ ด้วยอุปกรณ์เพียงเครื่องเดียว คุณจะสามารถมองเห็นปริมาณการรับส่งข้อมูลทั้งหมดของเครือข่ายได้ อย่างไรก็ตาม...

กระจายอำนาจ

ด้วยวิธีการกระจายอำนาจ คุณจะวางอุปกรณ์หลายตัวไว้รอบเครือข่าย โดยเริ่มจากจุดเข้าและดำเนินการต่อไปยังส่วนเครือข่ายที่ลึกกว่า เช่น เวิร์กกรุ๊ป ข้อดี ได้แก่ ไม่จำเป็นต้องกำหนดค่าเครือข่ายใหม่ ติดตั้งง่าย...