The Basic of Network Layering

又重複了一遍網絡分層模型，不再贅述，即OSI 7層模型以及TCP/IP 4層模型，其中有一段有趣的討論，記錄如下。
爲什麼network sensor不能監控一切呢？這也就是問爲什麼我們光憑藉network traffic不能夠理解當前系統發生的一切呢。這要從OSI參考模型說起，比如4層傳輸層及以下，網絡層數據鏈路層以及物理層，這些數據的傳輸我們都是能看到的，而從5層以後開始加密，如SSL之類的協議，也就是說我們似乎開始無法理解網絡的行爲了，因爲他們變的不可讀（事實上已經有很多研究關於如何分類和識別或者分類加密流量），因此根據數據包來重建網路行爲是一個非常困難的過程。而此時在其他位置的sensors可以起到極大的幫助。例如log，他的作用是記錄下行爲，以及其他屬性的sensors。這些行爲及其他信息就可以幫助理解事件。
另外突然讓我想起了抓包的過程。以tcpdump爲例，顯然其工作的位置在於主機本身，其首先註冊一個虛擬的底層協議，這個協議位置位於數據鏈路層，當一個數據包被網卡捕獲，他會依次詢問每個已經註冊的協議如Ethernet以及802.11是否具有處理當前數據包的能力，有則複製走處理，沒有跳過，去問下一個，而tcpdump註冊的協議顯然是來着不拒的（在某些參數下）同理如果把網卡打開混雜模式，即可從數據鏈路層監控所有的traffci，好像後文也說這些了，那麼後面再說
補個圖吧

Network Layers and Vantage

首先看二層Switch的兩種情況，一種是所需監視的所有對象都處於一個衝突域下，Figure2-2，顯然A-B-C-D都在一條總線上，這樣我們把D的網卡打開到混雜模式即可監視所有流量，第二種情況由於衝突域的劃分，導致Swtich控制了所有的轉發過程，專線之外的網卡完全接收不到其他總線上的數據，此時需要利用Swtich的鏡像端口來複制所有流量，其實第一種情況也可以這麼用，而現在沒得選。

接下來看第三種情況的sensors部署，當上升到OSI第三層的情況下,及Routers作爲中間的連接件，A-B的traffic只能經過上層Router，由C可以監控到，而由B-A的traffic只能經過下層Router,只能由D監控，這是一個簡單的特殊例子，通常情況下其實他們應該在同一總線上，然而如果有多臺設備，情況會更加複雜吧