网络工程师利器，七大提供深度数据包分析的网络监控系统

深度数据包分析（deep packet analysis，DPA）是一种在防火墙中特别有用的网络方法。近年来，DPA的使用有所增加，因为它可以用作入侵检测系统（IDS）和入侵防御系统（IPS）的一部分。

传统上，防火墙阻止对网络的访问。防火墙中的过滤器还可以通过检查数据包标头中包含的目标IP地址来阻止对网站列表的访问。检查IP头的网关的进步是“有状态”防火墙。它们检查TCP或UDP标头，它们包含在IP数据包中。状态包检测也称为浅包检测。深度数据包检查会查看数据包的数据有效负载。

浅包检查会检查网关处理的各个数据包，并有选择地丢弃不符合网络安全策略的传出请求或传入数据包。深度数据包检查收集要作为一个组进行检查的数据包，因此在收集副本进行分析时，常规流量将继续进行。这就是DPI通常被称为“深度数据包检测”的原因。深度数据包检查比浅层数据包检查需要更长的时间。

深度数据包分析的好处

入侵检测系统在数据流量中寻找“签名”以识别不规则活动。黑客用来绕过这些签名检测系统的一个技巧是将数据包分成更小的段。这会混过浅层数据包分析所寻找的模式，因此没有一个数据包包含签名，攻击就会通过。深度数据包分析重新组合来自同一源的数据包流，因此即使分布在多个传入数据包上，也可以检测到攻击特征。

当深度数据包分析是入侵防御系统的一部分时，正在进行的分析结果会生成并应用操作来自动保护系统。这样的动作可以包括阻止从特定源IP地址或甚至一系列地址到达的所有分组。

攻击检测

数据包的收集使DPI能够识别有状态分析可能遗漏的攻击类型。这些示例包括不规范的使用标准网络实用程序（如Powershell或WMI）和定向卷过载（如缓冲区溢出攻击）。在病毒感染或间谍软件操作中使用常规系统实用程序，意味着无法执行已知黑客使用的应用程序的禁令。这是因为这些系统实用程序对于向合法用户提供应用程序和服务至关重要。因此，深度数据包分析步骤检查这些系统服务的使用模式使用情况，并有选择地根除显示可疑行为的流量。因此，即使最初看起来是合法的流量，也可以识别恶意活动。

数据泄漏防护

数据泄漏防护是深度数据包分析的另一种用途。这采用白名单方法。公司可以制定一项政策，不允许任何人将数据复制到USB或发送电子邮件附件。但是有合理的情况需要这样的行动。在这种情况下，将通知DPI以允许通过否则将被视为未授权活动的内容。不应该允许该用户发送任何文件，因此DPI功能会持续监视活动以阻止授权附件以外的文件传输。

实施深度包分析

现在，复杂的网络监控系统包括深度数据包分析程序。因此，你可以将此工具作为常规网络管理软件的一部分。一些软件提供商生产包含深度数据包分析的网络防御软件。以下是7个深度数据包分析工具：

1.Paessler PRTG(免费试用)

Paessler PRTG系统是一个全面的网络监控工具，在其数据收集过程中包括深度数据包检测。PRTG的数据包嗅探器分析特定的流量类型，以监控资源使用情况和不规则活动。监控报告这些流量类型及其吞吐量，包括Web流量，邮件服务器活动和文件传输。这些控件对于实施邮件和数据安全策略非常有用，它们可以让你发现可能是入侵或网络攻击迹象的流量激增。

如果你对使用深度数据包分析进行安全性特别感兴趣，那么你将获得有关DHCP，DNS和ICMP流量的信息。

PRTG仪表板中的数据包传感器页面具有提供可视化图形，可帮助你快速了解流量数据。

Paessler PRTG可以安装在Windows上，并且有一个适用于小型网络的免费版本。这将涵盖网络上的100个传感器。传感器是网络上的监控点，例如端口或可用磁盘空间等条件。

2.ManageEngine OpManager

ManageEngine的OpManager是当今市场上领先的网络监控系统之一。此监控系统使用SNMP方法进行持续的网络监控和设备状态跟踪。OpManager的深度包检测功能为系统增加了流量管理功能。

正如DPI预期的那样，离线执行分析。正在检查的数据包首先写入PCAP文件。这些文件提供分析的源信息。

OpManager的深度数据包分析功能旨在揭示网络性能不佳的原因，而不是检测入侵。分析中出现两个指标：网络响应时间和应用程序响应时间。管理员可以发现哪些应用程序性能不佳，并且可能需要比标准网络功能更多的资源。然后，可以决定是否增加资源以服务于该应用程序，提供更有效的替代方案，或限制该应用程序可用的带宽，以便为更重要的网络服务提供更好的响应时间。

深度数据包分析中出现的数据可以在报告中输出。这些使你能够与决策层讨论是否应该将预算用于扩展基础设施，或者是否应该抑制过度活跃的应用程序。

OpManager可免费监控网络上的十个节点或更少节点。大于此的系统必须使用付费的OpManager。OpManager监控控制台可以安装在Windows和Linux操作系统上。

3.nDPI

OpenDPI是深度数据包分析工具的开源项目。一个开源项目允许任何人查看应用程序的源代码。这可以向用户保证，内部没有隐藏的或破坏性的恶意软件程序。Ntop的nDPI基于OpenDPI代码并扩展其功能。nDPI的源代码也可用。

此开源模型为你提供了按原样安装或修改系统以满足业务需求的选项。开源代码的修改非常普遍，许多为此类系统创建增强功能的人员也会将这些新功能提供给社区。在某些情况下，管理源代码的组织会将这些更改接受到核心版本中。Ntop使nDPI与原始OpenDPI分开，因此你有两个开源选项。

（编辑：三明站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!