PACKET SNIFFING (PORT MIRRORING, INLINE-GERÄTE) SENSOR FÜR WANGUARD UND WANSIGHT

ÜBERBLICK: Die Packet Sensor-Komponente von Wanguard und Wansight ist ein Paket-Sniffer, der IP-Pakete prüft und detaillierte Datenverkehr-Analysen generiert. Im Kern enthält es eine hochskalierbare Verkehrskorrelations-Engine, die Hunderttausende von IP-Adressen kontinuierlich überwachen kann. Hochentwickelte statistische Algorithmen integrieren Verkehrsdaten, um ein genaues und detailliertes Bild von Echtzeit- und historischen Verkehrsflüssen im gesamten Netzwerk zu erstellen.

HAUPTMERKMALE
UND VORTEILE:
  • Enthält eine vollständig skalierbare IP-Datenverkehrsanalyse-Engine, die in Echtzeit Zehntausende von IPv4- und IPv6-Adressen und -Bereichen überwachen kann
  • Management und Reporting über eine moderne webbasierte Console mit einer einheitlichen, holistischen Präsentation
  • Erkennt alle mit der Bandbreite verbundenen Verkehrsanomalien (bei Verwendung mit einer Wanguard-Lizenz) wie:
    • Distributed Denial of Service (DDoS) -Angriffe, unbekannte volumetrische DoS-Attacken
    • NTP-Amplifikationsangriffe, generische UDP-Floods, ICMP-Floods, SMURF-Attacken
    • SYN Floods, TCP / UDP-Port 0, LOIC, Peer-to-Peer-Angriffe
    • Scans und Würmer, die Datenverkehr an illegale oder nicht zugewiesene Adressen senden und Verkehr zu / von kritischen Diensten verpassen
  • Flexible Reaktionsoptionen für Bedrohungen pro Endpunkt (bei Verwendung mit einer Wanguard-Lizenz) wie:
    • Aktivieren von lokaler DDoS-Angriffminimierung mit Wanguard Filter
    • Senden von ferngesteuerten BGP-Blackhole-Meldungen (RTBH) mithilfe von FlowSpec (RFC 5575) oder Null-Routing-Communitys
    • Senden von Benachrichtigungen über BGP-Off- / On-Ramp-Verkehrsumleitungen an DDoS-Abwehrdienste lokal / in der Cloud
    • E-Mail-Benachrichtigungen mit benutzerdefinierten dynamischen Vorlagen
    • Senden von benutzerdefinierten Syslog-Nachrichten an entfernte Protokollserver oder SIEM-System
    • Entnahme von Datenverkehr-Stichproben für forensische Untersuchungen
    • Erweiterung der integrierten Funktionen durch Ausführen benutzerdefinierter Skripts mit Zugriff auf eine einfach zu verwendende API, die mehr als 80 interne Parameter enthält
  • Bietet Verkehrsverwaltungs-Berichte und Graphen pro IP, Subnetz oder IP-Gruppe für jeden der folgenden Verkehrsdecoder (Klassen): gesamt, tcp, tcp + syn, tcp + rst, tcp + ack, tcp + syn + ack, tcp-null , udp, icmp, other, bad, flows, flows + syn, http, https, ssl, mail, dns, sip, ntp, rdp, snmp, ssh, ipsec, ssdp, facebook, youtube, netflix, hulu. Unterstützt benutzerdefinierte Decoder
  • Erzeugt Top-Listen und Graphen für Sprecher, externe IPs, IP-Gruppen, autonome Systeme, Transit-autonome Systeme (basierend auf BGP-MTR-Dateien), Länder (basierend auf GeoIP), TCP- oder UDP-Ports, IP-Protokolle und mehr
  • Einstellen der Kurzzeit-Genauigkeit von Bandbreitengraphen zwischen 30 Sekunden und 10 Minuten. Einstellen der Langzeit-Genauigkeit auf eine beliebige Anzahl von Jahren ein
  • Benutzer können Paket-Dumps für forensische Untersuchungen oder zur Unterstützung der Fehlerdiagnose im Netzwerk speichern. Paket-Dumps können online heruntergeladen oder in einer Wireshark-ähnlichen Oberfläche angezeigt werden. Zeigt Paketerfassungen in hexadezimalen Rohdaten und ASCI-Daten zur Aufnahme in reguläre Ausdrücke an
  • Unterstützt das Laufen im Clustermodus, in dem mehrere Packet Sensor-Instanzen auf unterschiedliche CPU-Kerne oder Server verteilt sind
  • Bereitstellung beliebig vieler Instanzen auf Servern im Netzwerk
  • Kann libpcap, DPDK, PF_RING (Vanille oder ZC) und Netmap für Paket-Sniffing auf 10 Gbit-Schnittstellen ohne Paketverluste verwenden
  • Unterstützt MPLS-Verarbeitung im Spiegelmodus, VLAN- und Double-VLAN-Tag-Stripping, PPPoE- und GRE-Entkapselung
  • Einfache und unterbrechungsfreie Installation auf Standardhardware
  • Das kostengünstigste Datenverkehrsanalyse- und DDoS-Erkennungs-Tool auf dem Markt, das auf Sniffer für verteilte Pakete basiert

DATENBLATT:

Verkehrserfassung
Technologie:
  • Paket-Sniffer läuft auf: Linux-Server im Hauptdatenpfad, Router, Firewalls oder anderen Anwendungen
  • Port Spiegelung (SPAN - Geschalteter Port Analysator, RSPAN, Roving Analysis Port)
  • Netzwerk TAP
Kapazität / Sensor-Instanz: 10 Gigabit Ethernet, 14 MPakete / s, nicht begrenzt durch die Anzahl der Verbindungen zwischen IPs
DDoS-Erkennungszeit: ≤ 1 Sekunde
IP-Graphikgenauigkeit ≥ 5 Sekunden
Verkehrs-Validierungsoptionen: IP-Klassen, MAC-Adressen, VLANs, BPF

MINDESYSTEM
ANFORDERUNGEN:
   

Packet Sniffing Capacity:     10 Gbit/s (~14 Mpkts/s) 40 Gbit/s (~30 Mpkts/s)
Architecture: Intel Xeon 64 bit, dedicated server Intel Xeon 64 bit, dedicated server
CPU: 2.4 GHz 10-core Xeon E5-2640v4 2.4 GHz 12-core Xeon E5-2680v4
RAM: 8 GB DDR4 quad-channel 16 GB DDR4 quad-channel
Network Cards: 1 x 10 GbE adapter (Myricom, Intel 82599+ or DPDK supported chipset)
1 x Fast Ethernet for management
1 x 40 GbE adapter (Intel XL710+ or other DPDK supported chipset)
1 x Fast Ethernet for management
Operating System*:  RHEL / Rocky / Alma 8 or 9; Debian 10 to 12; Ubuntu Server 16 to 22 RHEL / Rocky / Alma 8 or 9; Debian 10 to 12; Ubuntu Server 16 to 22
Disk Space: 10 GB (including OS) 10 GB (including OS)
In geswitchten Netzwerken erreichen nur die Pakete für ein bestimmtes Gerät die Netzwerkkarte des Geräts. Wenn der Server, auf dem der Paketsensor ausgeführt wird, nicht inline (im Hauptdatenpfad) bereitgestellt wird, muss ein Netzwerk-TAP oder ein Switch oder Router verwendet werden, der einen Überwachungsport or Spiegelungsport bietet.

Packet Sensor kann nur dann lastverteilt über mehrere CPU-Kerne laufen, wenn er verwendet wird mit:
  • Intel 82599 Chipsatz-Netzwerkadapter, wie z.B. Intel X520, Intel X540, HP X560 oder Silicom PE310G4DBi9-T
  • Myricom Netzwerkadapter mit einer Sniffer 10G-Lizenz
  • PF_RING (mit oder ohne ZC) Hochgeschwindigkeits-Paket-I / O-Framework
  • Netmap Hochgeschwindigkeits-Paket-I / O-Framework
Um die Paketanalysekapazität auf 40 Gbit / s, 100 Gbit / s oder mehr zu erhöhen, definieren Sie einen Sensorcluster, der mehrere Paketsensoren aggregiert, die auf verschiedenen Servern mit 10-Gbit / s-Netzwerkadaptern laufen.

ZUSÄTZLICHE
INFORMATION:
Sie können Packet Sensor 30 Tage lang testen, indem Sie eine Testlizenz anfordern.
Lizenzen für Packet Sensor können über den Online-Shop erworben werden.
Häufig gestellte Fragen werden in der Knowledge Base und im Benutzerhandbuch beantwortet.
Wenn Sie weitere Informationen benötigen, zögern Sie nicht, uns zu kontaktieren.