อ่าน 3 นาที
อุปกรณ์จับแพ็กเก็ต
ความปลอดภัยเครือข่ายคอมพิวเตอร์/ฮาร์ดแวร์เครือข่าย/แพ็คเก็ต (เทคโนโลยีสารสนเทศ)
อุปกรณ์จับแพ็กเก็ตเป็นอุปกรณ์แบบสแตนด์อโลนที่ทำการจับแพ็กเก็ต อุปกรณ์จับแพ็กเก็ตสามารถติดตั้งได้ทุกที่บนเครือข่าย อย่างไรก็ตาม โดยทั่วไปจะติดตั้งที่ทางเข้าของเครือข่าย (เช่น...
อุปกรณ์จับแพ็กเก็ต
อุปกรณ์จับแพ็กเก็ตเป็นอุปกรณ์แบบสแตนด์อโลนที่ทำการจับแพ็กเก็ต [ 1 ] อุปกรณ์จับแพ็กเก็ตสามารถติดตั้งได้ทุกที่บนเครือข่าย อย่างไรก็ตาม โดยทั่วไปจะติดตั้งที่ทางเข้าของเครือข่าย (เช่น การเชื่อมต่ออินเทอร์เน็ต) และด้านหน้าของอุปกรณ์ที่สำคัญ เช่น เซิร์ฟเวอร์ที่มีข้อมูลที่ละเอียดอ่อน
โดยทั่วไป อุปกรณ์จับแพ็กเก็ตจะจับและบันทึกแพ็กเก็ตเครือข่ายทั้งหมดอย่างครบถ้วน (ทั้งส่วนหัวและส่วนข้อมูล) อย่างไรก็ตาม อุปกรณ์บางชนิดอาจถูกกำหนดค่าให้จับแพ็กเก็ตย่อยของการรับส่งข้อมูลเครือข่ายตามตัวกรองที่ผู้ใช้กำหนดได้ สำหรับแอปพลิเคชันจำนวนมาก โดยเฉพาะอย่างยิ่งการวิเคราะห์ทางนิติวิทยาศาสตร์ของเครือข่ายและการตอบสนองต่อเหตุการณ์ การจับแพ็กเก็ตทั้งหมดเป็นสิ่งสำคัญ แม้ว่าการจับแพ็กเก็ตแบบกรองอาจถูกนำมาใช้ในบางครั้งเพื่อวัตถุประสงค์ในการรวบรวมข้อมูลที่เฉพาะเจาะจงและจำกัด[ 2 ]
การปรับใช้
ข้อมูลเครือข่ายที่อุปกรณ์จับแพ็กเก็ตจับได้นั้นขึ้นอยู่กับตำแหน่งและวิธีการติดตั้งอุปกรณ์บนเครือข่าย มีสองทางเลือกสำหรับการติดตั้งอุปกรณ์จับแพ็กเก็ตบนเครือข่าย ทางเลือกหนึ่งคือการเชื่อมต่ออุปกรณ์เข้ากับพอร์ต SPAN ( การจำลองพอร์ต ) บนสวิตช์เครือข่ายหรือเราเตอร์ ทางเลือกที่สองคือการเชื่อมต่ออุปกรณ์แบบอินไลน์ เพื่อให้กิจกรรมเครือข่ายตามเส้นทางเครือข่ายผ่านอุปกรณ์ (มีการกำหนดค่าคล้ายกับnetwork tapแต่ข้อมูลจะถูกจับและจัดเก็บโดยอุปกรณ์จับแพ็กเก็ตแทนที่จะส่งต่อไปยังอุปกรณ์อื่น) [ 3 ]
เมื่อเชื่อมต่อผ่านพอร์ต SPAN อุปกรณ์จับแพ็กเก็ตอาจรับและบันทึกกิจกรรมอีเธอร์เน็ต/IP ทั้งหมดสำหรับพอร์ตทั้งหมดของสวิตช์หรือเราเตอร์[ 4 ]
เมื่อเชื่อมต่อแบบอินไลน์ อุปกรณ์จับแพ็กเก็ตจะจับเฉพาะทราฟฟิกเครือข่ายที่เดินทางระหว่างสองจุด นั่นคือทราฟฟิกที่ผ่านสายเคเบิลที่อุปกรณ์จับแพ็กเก็ตเชื่อมต่ออยู่[ 3 ]
โดยทั่วไปแล้ว การติดตั้งอุปกรณ์ดักจับแพ็กเก็ตมีสองแนวทางหลัก ได้แก่ แบบรวมศูนย์ และแบบกระจายศูนย์
ส่วนกลาง
ด้วยวิธีการรวมศูนย์ อุปกรณ์จับแพ็กเก็ตความเร็วสูงความจุสูงหนึ่งเครื่องจะเชื่อมต่อกับจุดรวมข้อมูล ข้อดีของวิธีการรวมศูนย์คือ ด้วยอุปกรณ์เพียงเครื่องเดียว คุณจะสามารถมองเห็นปริมาณการรับส่งข้อมูลทั้งหมดของเครือข่ายได้ อย่างไรก็ตาม วิธีการนี้สร้างจุดล้มเหลวเพียงจุดเดียวซึ่งเป็นเป้าหมายที่น่าดึงดูดใจสำหรับแฮกเกอร์ นอกจากนี้ ยังต้องออกแบบเครือข่ายใหม่เพื่อนำปริมาณการรับส่งข้อมูลไปยังอุปกรณ์ และวิธีการนี้มักมีค่าใช้จ่ายสูง[ 4 ]
กระจายอำนาจ
ด้วยวิธีการกระจายอำนาจ คุณจะวางอุปกรณ์หลายตัวไว้รอบเครือข่าย โดยเริ่มจากจุดเข้าและดำเนินการต่อไปยังส่วนเครือข่ายที่ลึกกว่า เช่น เวิร์กกรุ๊ป ข้อดี ได้แก่ ไม่จำเป็นต้องกำหนดค่าเครือข่ายใหม่ ติดตั้งง่าย มีจุดสังเกตการณ์หลายจุดสำหรับการตรวจสอบการตอบสนองต่อเหตุการณ์ ปรับขนาดได้ ไม่มีจุดล้มเหลวเพียงจุดเดียว – หากเครื่องหนึ่งล้มเหลว เครื่องอื่นก็ยังใช้งานได้ หากรวมกับการมองไม่เห็นทางอิเล็กทรอนิกส์ วิธีนี้แทบจะขจัดอันตรายจากการเข้าถึงโดยไม่ได้รับอนุญาตจากแฮกเกอร์ ต้นทุนต่ำ ข้อเสีย: อาจต้องบำรุงรักษาอุปกรณ์หลายตัวเพิ่มขึ้น[ 4 ]
ในอดีต อุปกรณ์จับแพ็กเก็ตถูกใช้งานอย่างจำกัด มักจะติดตั้งเฉพาะที่จุดเข้าสู่เครือข่ายเท่านั้น ปัจจุบัน อุปกรณ์จับแพ็กเก็ตสามารถติดตั้งได้อย่างมีประสิทธิภาพมากขึ้นในหลายจุดทั่วเครือข่าย เมื่อดำเนินการตอบสนองต่อเหตุการณ์ ความสามารถในการมองเห็นการไหลของข้อมูลเครือข่ายจากมุมมองต่างๆ เป็นสิ่งจำเป็นอย่างยิ่งในการลดเวลาในการแก้ไขปัญหาและจำกัดขอบเขตของส่วนต่างๆ ของเครือข่ายที่ได้รับผลกระทบ การวางอุปกรณ์จับแพ็กเก็ตไว้ที่จุดเข้าและด้านหน้าของแต่ละเวิร์กกรุ๊ป จะทำให้การติดตามเส้นทางการส่งข้อมูลเฉพาะเจาะจงลึกเข้าไปในเครือข่ายทำได้ง่ายขึ้นและรวดเร็วยิ่งขึ้น นอกจากนี้ อุปกรณ์ที่วางไว้ด้านหน้าเวิร์กกรุ๊ปจะแสดงการส่งข้อมูลภายในเครือข่ายที่อุปกรณ์ที่ตั้งอยู่ที่จุดเข้าไม่สามารถจับได้[ 3 ]
ความจุ
อุปกรณ์จับแพ็กเก็ตมีความจุตั้งแต่ 500 GB ถึง 192 TB และมากกว่านั้น มีเพียงไม่กี่องค์กรที่มีการใช้งานเครือข่ายสูงมากเท่านั้นที่จะใช้ประโยชน์จากความจุระดับสูงได้ องค์กรส่วนใหญ่จะสามารถใช้งานอุปกรณ์ที่มีความจุตั้งแต่ 1 TB ถึง 4 TB ได้อย่างเพียงพอ[ 5 ]
หลักการโดยทั่วไปในการเลือกความจุคือควรจัดสรร 1 GB ต่อวันสำหรับผู้ใช้งานหนัก และ 1 GB ต่อเดือนสำหรับผู้ใช้งานทั่วไป สำหรับสำนักงานทั่วไปที่มีพนักงาน 20 คนและมีการใช้งานโดยเฉลี่ย 1 TB จะเพียงพอสำหรับประมาณ 1 ถึง 4 ปี[ 3 ]
| อัตราส่วนความเร็วลิงก์ 100/0 | 100 เมกะบิต/วินาที | 1 กิกะบิต/วินาที | 10 กิกะบิต/วินาที | 40 กิกะบิต/วินาที |
|---|---|---|---|---|
| ข้อมูลบนดิสก์/วินาที | 12.5 MB | 125 MB | 1.25 GB | 5 GB |
| ข้อมูลบนดิสก์/นาที | 750 MB | 7.5 GB | 75 GB | 300 GB |
| ข้อมูลบนดิสก์/ชั่วโมง | 45 GB | 450 GB | 4.5 เทราไบต์ | 18 TB |
อัตราส่วน 100/0 หมายถึงปริมาณการรับส่งข้อมูลแบบซิมเพล็กซ์บนลิงก์จริง ซึ่งจะช่วยให้คุณมีปริมาณการรับส่งข้อมูลมากยิ่งขึ้น
คุณสมบัติ
การจับแพ็กเก็ตแบบกรองเทียบกับการจับแพ็กเก็ตแบบเต็ม
อุปกรณ์จับแพ็กเก็ตแบบเต็มรูปแบบจะจับและบันทึกกิจกรรม Ethernet/IP ทั้งหมด ในขณะที่อุปกรณ์จับแพ็กเก็ตแบบกรองจะจับเฉพาะส่วนย่อยของทราฟฟิกตามชุดตัวกรองที่ผู้ใช้กำหนดได้ เช่น ที่อยู่ IP ที่อยู่ MACหรือโปรโตคอล โดยทั่วไปแล้ว ควรใช้อุปกรณ์จับแพ็กเก็ตแบบเต็มรูปแบบ เว้นแต่จะใช้อุปกรณ์จับแพ็กเก็ตเพื่อวัตถุประสงค์เฉพาะที่ครอบคลุมโดยพารามิเตอร์ตัวกรอง มิฉะนั้นอาจเสี่ยงต่อการพลาดข้อมูลสำคัญ โดยเฉพาะอย่างยิ่งเมื่อใช้อุปกรณ์จับแพ็กเก็ตเพื่อการตรวจสอบทางนิติวิทยาศาสตร์เครือข่ายหรือเพื่อวัตถุประสงค์ด้านความปลอดภัยทางไซเบอร์ การจับทุกอย่างเป็นสิ่งสำคัญยิ่ง เพราะแพ็กเก็ตใด ๆ ที่ไม่ได้จับในทันทีคือแพ็กเก็ตที่หายไปตลอดกาล เป็นไปไม่ได้ที่จะทราบล่วงหน้าถึงลักษณะเฉพาะของแพ็กเก็ตหรือการส่งข้อมูลที่จำเป็น โดยเฉพาะอย่างยิ่งในกรณีของภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT) APT และเทคนิคการแฮ็กอื่น ๆ อาศัยความสำเร็จจากการที่ผู้ดูแลระบบเครือข่ายไม่รู้ว่าพวกมันทำงานอย่างไร และด้วยเหตุนี้จึงไม่มีวิธีแก้ปัญหาเพื่อต่อต้านพวกมัน[ 3 ]
การดักจับแพ็กเก็ตอัจฉริยะ
การดักจับแพ็กเก็ตอัจฉริยะใช้การเรียนรู้ของเครื่องเพื่อกรองและลดปริมาณการรับส่งข้อมูลเครือข่ายที่ดักจับได้ การดักจับแพ็กเก็ตแบบกรองแบบดั้งเดิมอาศัยกฎและนโยบายที่กำหนดค่าด้วยตนเองเพื่อดักจับการรับส่งข้อมูลที่เป็นอันตรายทั้งหมด การดักจับแพ็กเก็ตอัจฉริยะใช้โมเดลการเรียนรู้ของเครื่อง รวมถึงคุณลักษณะจาก ฟีด ข่าวกรองภัยคุกคามทางไซเบอร์เพื่อกำหนดเป้าหมายและดักจับการรับส่งข้อมูลที่เป็นภัยคุกคามมากที่สุดอย่างเป็นวิทยาศาสตร์ เทคนิคการเรียนรู้ของเครื่องสำหรับการตรวจจับการบุกรุกเครือข่าย[ 6 ] [ 7 ] การจำแนกประเภท การรับส่งข้อมูล[ 8 ]และการตรวจจับความผิดปกติ[ 9 ]ถูกนำมาใช้เพื่อระบุการรับส่งข้อมูลที่เป็นอันตรายที่อาจเกิดขึ้นเพื่อรวบรวม
การจัดเก็บข้อมูลแบบเข้ารหัสเทียบกับการจัดเก็บข้อมูลแบบไม่เข้ารหัส
อุปกรณ์จับแพ็กเก็ตบางชนิดเข้ารหัสข้อมูลที่จับได้ก่อนบันทึกลงดิสก์ ในขณะที่บางชนิดไม่เข้ารหัส เมื่อพิจารณาถึงขอบเขตของข้อมูลที่เดินทางผ่านเครือข่ายหรือการเชื่อมต่ออินเทอร์เน็ต และอย่างน้อยส่วนหนึ่งของข้อมูลนั้นอาจถือว่ามีความละเอียดอ่อน การเข้ารหัสจึงเป็นแนวทางที่ดีในสถานการณ์ส่วนใหญ่เพื่อรักษาความปลอดภัยของข้อมูลที่จับได้ การเข้ารหัสยังเป็นองค์ประกอบสำคัญของการตรวจสอบความถูกต้องของข้อมูลเพื่อวัตถุประสงค์ในการตรวจสอบทางนิติวิทยาศาสตร์ของข้อมูล/เครือข่าย[ 3 ]
ความเร็วในการจับภาพต่อเนื่องเทียบกับความเร็วในการจับภาพสูงสุด
ความเร็วในการจับภาพอย่างต่อเนื่องคืออัตราที่อุปกรณ์จับภาพแพ็กเก็ตสามารถจับภาพและบันทึกแพ็กเก็ตได้โดยไม่หยุดชะงักหรือมีข้อผิดพลาดเป็นเวลานาน ซึ่งแตกต่างจากอัตราการจับภาพสูงสุด ซึ่งเป็นความเร็วสูงสุดที่อุปกรณ์จับภาพแพ็กเก็ตสามารถจับภาพและบันทึกแพ็กเก็ตได้ ความเร็วในการจับภาพสูงสุดสามารถคงไว้ได้เพียงช่วงเวลาสั้นๆ จนกว่าบัฟเฟอร์ของอุปกรณ์จะเต็มและเริ่มสูญเสียแพ็กเก็ต อุปกรณ์จับภาพแพ็กเก็ตหลายตัวมีอัตราการจับภาพสูงสุดเท่ากันที่ 1 Gbit/s แต่ความเร็วในการจับภาพอย่างต่อเนื่องที่แท้จริงจะแตกต่างกันอย่างมากในแต่ละรุ่น[ 3 ] [ 10 ]
หน่วยความจำถาวรเทียบกับหน่วยความจำที่เขียนทับได้
อุปกรณ์จับแพ็กเก็ตที่มีหน่วยความจำถาวรเหมาะอย่างยิ่งสำหรับการตรวจสอบทางนิติวิทยาศาสตร์เครือข่ายและการเก็บรักษาบันทึกถาวร เนื่องจากข้อมูลที่ถูกจับได้ไม่สามารถเขียนทับ เปลี่ยนแปลง หรือลบได้ ข้อเสียเพียงอย่างเดียวของหน่วยความจำถาวรคือ ในที่สุดอุปกรณ์จะเต็มและต้องเปลี่ยนใหม่ อุปกรณ์จับแพ็กเก็ตที่มีหน่วยความจำที่เขียนทับได้นั้นจัดการได้ง่ายกว่า เพราะเมื่อถึงความจุแล้ว อุปกรณ์จะเริ่มเขียนทับข้อมูลที่ถูกจับได้ที่เก่าที่สุดด้วยข้อมูลใหม่ อย่างไรก็ตาม ผู้ดูแลระบบเครือข่ายมีความเสี่ยงที่จะสูญเสียข้อมูลการจับที่สำคัญเมื่อข้อมูลถูกเขียนทับ โดยทั่วไปแล้ว อุปกรณ์จับแพ็กเก็ตที่มีความสามารถในการเขียนทับนั้นมีประโยชน์สำหรับการตรวจสอบหรือทดสอบอย่างง่าย ซึ่งไม่จำเป็นต้องมีบันทึกถาวร การบันทึกถาวรที่ไม่สามารถเขียนทับได้เป็นสิ่งจำเป็นสำหรับการรวบรวมข้อมูลทางนิติวิทยาศาสตร์เครือข่าย[ 4 ]
GbE เทียบกับ 10 GbE
ธุรกิจส่วนใหญ่ใช้ เครือข่ายความเร็ว Gigabit Ethernetและจะยังคงใช้ต่อไปอีกสักระยะ[ 11 ]หากธุรกิจตั้งใจที่จะใช้อุปกรณ์จับแพ็กเก็ตแบบรวมศูนย์เพื่อรวบรวมข้อมูลเครือข่ายทั้งหมด ก็อาจจำเป็นต้องใช้ อุปกรณ์จับแพ็กเก็ต 10 GbEเพื่อจัดการกับปริมาณข้อมูลจำนวนมากที่เข้ามาจากทั่วทั้งเครือข่าย วิธีที่มีประสิทธิภาพมากกว่าคือการใช้อุปกรณ์จับแพ็กเก็ตแบบอินไลน์ 1 Gbit/s หลายตัวที่วางไว้อย่างมีกลยุทธ์รอบเครือข่าย เพื่อไม่จำเป็นต้องออกแบบเครือข่ายกิกะบิตใหม่เพื่อให้เข้ากับอุปกรณ์10 GbE [ 10 ]
ความปลอดภัยของข้อมูล
เนื่องจากอุปกรณ์จับแพ็กเก็ตจะจับและจัดเก็บข้อมูลจำนวนมากเกี่ยวกับกิจกรรมเครือข่าย รวมถึงไฟล์[ 12 ]อีเมล และการสื่อสารอื่นๆ จึงอาจกลายเป็นเป้าหมายที่น่าสนใจสำหรับการแฮ็กได้ อุปกรณ์จับแพ็กเก็ตที่ใช้งานเป็นระยะเวลานานควรมีคุณสมบัติด้านความปลอดภัยเพื่อปกป้องข้อมูลเครือข่ายที่บันทึกไว้จากการเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต หากการใช้งานอุปกรณ์จับแพ็กเก็ตทำให้เกิดความกังวลเพิ่มเติมเกี่ยวกับความปลอดภัยมากเกินไป ต้นทุนในการรักษาความปลอดภัยอาจมากกว่าผลประโยชน์ วิธีที่ดีที่สุดคือให้อุปกรณ์จับแพ็กเก็ตมีคุณสมบัติด้านความปลอดภัยในตัว คุณสมบัติด้านความปลอดภัยเหล่านี้อาจรวมถึงการเข้ารหัส หรือวิธีการ "ซ่อน" การปรากฏตัวของอุปกรณ์บนเครือข่าย ตัวอย่างเช่น อุปกรณ์จับแพ็กเก็ตบางชนิดมี "การมองไม่เห็นทางอิเล็กทรอนิกส์" ซึ่งมีโปรไฟล์เครือข่ายที่ซ่อนเร้นโดยไม่จำเป็นต้องใช้หรือใช้งานที่อยู่ IP หรือ MAC [ 4 ]
แม้ว่าการเชื่อมต่ออุปกรณ์จับแพ็กเก็ตผ่านพอร์ต SPAN จะดูเหมือนทำให้มีความปลอดภัยมากขึ้น แต่อุปกรณ์จับแพ็กเก็ตก็ยังคงต้องเชื่อมต่อกับเครือข่ายเพื่อให้สามารถจัดการและเรียกค้นข้อมูลได้ แม้ว่าจะไม่สามารถเข้าถึงได้ผ่านลิงก์ SPAN แต่อุปกรณ์จะสามารถเข้าถึงได้ผ่านลิงก์การจัดการ[ 3 ]
แม้จะมีข้อดี แต่ความสามารถในการควบคุมอุปกรณ์จับแพ็กเก็ตจากเครื่องระยะไกลก็ก่อให้เกิดปัญหาด้านความปลอดภัยที่อาจทำให้อุปกรณ์มีความเสี่ยง[ 13 ]อุปกรณ์จับแพ็กเก็ตที่อนุญาตให้เข้าถึงจากระยะไกลควรมีระบบที่แข็งแกร่งเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต วิธีหนึ่งในการทำเช่นนี้คือการรวมการปิดใช้งานด้วยตนเอง เช่น สวิตช์หรือตัวสลับที่อนุญาตให้ผู้ใช้ปิดใช้งานการเข้าถึงจากระยะไกลได้ วิธีแก้ปัญหาง่ายๆ นี้มีประสิทธิภาพมาก เนื่องจากเป็นไปได้ยากที่แฮ็กเกอร์จะเข้าถึงอุปกรณ์ทางกายภาพเพื่อสลับสวิตช์ได้ง่ายๆ[ 3 ]
ข้อพิจารณาสุดท้ายคือความปลอดภัยทางกายภาพ คุณสมบัติการรักษาความปลอดภัยเครือข่ายทั้งหมดในโลกจะไร้ประโยชน์หากใครบางคนสามารถขโมยอุปกรณ์จับแพ็กเก็ตหรือทำสำเนาอุปกรณ์นั้นและเข้าถึงข้อมูลที่จัดเก็บไว้ได้อย่างง่ายดาย การเข้ารหัสเป็นหนึ่งในวิธีที่ดีที่สุดในการแก้ไขปัญหานี้ แม้ว่าอุปกรณ์จับแพ็กเก็ตบางชนิดจะมีตัวเรือนป้องกันการงัดแงะด้วยก็ตาม[ 3 ]
ดูเพิ่มเติม
เอกสารอ้างอิง
- ^ "การดักจับแพ็กเก็ตเครือข่ายคืออะไร?" . www.endace.com . 2023.
- ^เชอร์ริ เดวิดอฟฟ์. "การวิเคราะห์หลักฐานเครือข่าย: การติดตามแฮกเกอร์ผ่านโลกไซเบอร์" . สืบค้นเมื่อ2012-07-08 .
- ^ a b c d e f g h i j Vacca, John R. (2013-08-26). ความปลอดภัยของเครือข่ายและระบบ . Elsevier. ISBN 978-0-12-416695-0.
- ^ a b c d e Vacca, John R. (2012-11-05). คู่มือความปลอดภัยของคอมพิวเตอร์และสารสนเทศ . Newnes. ISBN 978-0-12-394612-6.
- ^ "ความจุในการจัดเก็บข้อมูล - อุปกรณ์จับแพ็กเก็ต IPCopper" . www.ipcopper.com . สืบค้นเมื่อ2020-12-04 .
- ^ "KDD Cup 1999: การตรวจจับการบุกรุกเครือข่ายคอมพิวเตอร์" . SIGKDD . สืบค้นเมื่อ17 มิถุนายน 2019 .
- ^ Buczak, Anna; Guven, Erhan (26 ตุลาคม 2015). "การสำรวจวิธีการขุดข้อมูลและการเรียนรู้ของเครื่องสำหรับการตรวจจับการบุกรุกด้านความปลอดภัยทางไซเบอร์" IEEE Communications Surveys & Tutorials . 18 (2): 1153– 1176. doi : 10.1109/COMST.2015.2494502 . S2CID 206577177 .
- ^ Li, Wei; Moore, Andrew W. (24–26 ตุลาคม 2550). แนวทางการเรียนรู้ของเครื่องจักรเพื่อการจำแนกประเภทการจราจรอย่างมีประสิทธิภาพ 2007 การประชุมวิชาการนานาชาติครั้งที่ 15 ว่าด้วยการสร้างแบบจำลอง การวิเคราะห์ และการจำลองระบบคอมพิวเตอร์และโทรคมนาคม หน้า 310–317 . CiteSeerX 10.1.1.219.6221 . doi : 10.1109/MASCOTS.2007.2 . ISBN 978-1-4244-1853-4. S2CID 2037709 .
- ^ Ahmed, Tarem; Oreshkin, Boris; Coates, Mark (10 เมษายน 2550). แนวทางการเรียนรู้ของเครื่องในการตรวจจับความผิดปกติของเครือข่าย การประชุมเชิงปฏิบัติการครั้งที่สองเกี่ยวกับการแก้ปัญหาของระบบคอมพิวเตอร์ด้วยเทคนิคการเรียนรู้ของเครื่อง (SysML07) สืบค้นเมื่อ17 มิถุนายน 2562
- ^ a b "Packet Analyzer - เครื่องมือวิเคราะห์และสแกนเครือข่าย | SolarWinds" . www.solarwinds.com . สืบค้นเมื่อ2020-12-04 .
- ^ "กิกะบิตอีเธอร์เน็ต – มันคืออนาคตหรือไม่?" . ComputerWeekly.com . สืบค้นเมื่อ2020-12-04 .
- ^ Erik Hjelmvik (2008). "การวิเคราะห์ความปลอดภัยเครือข่ายแบบพาสซีฟด้วย NetworkMiner" . Forensic Focus. เก็บถาวรจากต้นฉบับเมื่อ 2012-02-23 . สืบค้นเมื่อ2012-07-08 .
- ^ Mike Pilkington (2010). "การปกป้องรหัสผ่านผู้ดูแลระบบระหว่างการตอบสนองระยะไกลและการตรวจสอบทางนิติวิทยาศาสตร์" . SANS . สืบค้นเมื่อ2012-07-08 .
สรุปเนื้อหา
ข้อมูลสำคัญจากบทความ
ข้อมูลสำคัญเกี่ยวกับ อุปกรณ์จับแพ็กเก็ต
อุปกรณ์จับแพ็กเก็ตเป็นอุปกรณ์แบบสแตนด์อโลนที่ทำการจับแพ็กเก็ต อุปกรณ์จับแพ็กเก็ตสามารถติดตั้งได้ทุกที่บนเครือข่าย อย่างไรก็ตาม โดยทั่วไปจะติดตั้งที่ทางเข้าของเครือข่าย (เช่น...
การปรับใช้
ข้อมูลเครือข่ายที่อุปกรณ์จับแพ็กเก็ตจับได้นั้นขึ้นอยู่กับตำแหน่งและวิธีการติดตั้งอุปกรณ์บนเครือข่าย มีสองทางเลือกสำหรับการติดตั้งอุปกรณ์จับแพ็กเก็ตบนเครือข่าย ทางเลือกหนึ่งคือการเชื่อมต่ออุปกรณ์เข้ากับพอร์ต SPAN ( การจำลองพอร์ต ) บนสวิตช์เครือข่ายหรือเราเตอร์...
ส่วนกลาง
ด้วยวิธีการรวมศูนย์ อุปกรณ์จับแพ็กเก็ตความเร็วสูงความจุสูงหนึ่งเครื่องจะเชื่อมต่อกับจุดรวมข้อมูล ข้อดีของวิธีการรวมศูนย์คือ ด้วยอุปกรณ์เพียงเครื่องเดียว คุณจะสามารถมองเห็นปริมาณการรับส่งข้อมูลทั้งหมดของเครือข่ายได้ อย่างไรก็ตาม...
กระจายอำนาจ
ด้วยวิธีการกระจายอำนาจ คุณจะวางอุปกรณ์หลายตัวไว้รอบเครือข่าย โดยเริ่มจากจุดเข้าและดำเนินการต่อไปยังส่วนเครือข่ายที่ลึกกว่า เช่น เวิร์กกรุ๊ป ข้อดี ได้แก่ ไม่จำเป็นต้องกำหนดค่าเครือข่ายใหม่ ติดตั้งง่าย...