The Basic of Network Layering
又重复了一遍网络分层模型,不再赘述,即OSI 7层模型以及TCP/IP 4层模型,其中有一段有趣的讨论,记录如下。
为什么network sensor不能监控一切呢?这也就是问为什么我们光凭借network traffic不能够理解当前系统发生的一切呢。这要从OSI参考模型说起,比如4层传输层及以下,网络层数据链路层以及物理层,这些数据的传输我们都是能看到的,而从5层以后开始加密,如SSL之类的协议,也就是说我们似乎开始无法理解网络的行为了,因为他们变的不可读(事实上已经有很多研究关于如何分类和识别或者分类加密流量),因此根据数据包来重建网路行为是一个非常困难的过程。而此时在其他位置的sensors可以起到极大的帮助。例如log,他的作用是记录下行为,以及其他属性的sensors。这些行为及其他信息就可以帮助理解事件。
另外突然让我想起了抓包的过程。以tcpdump为例,显然其工作的位置在于主机本身,其首先注册一个虚拟的底层协议,这个协议位置位于数据链路层,当一个数据包被网卡捕获,他会依次询问每个已经注册的协议如Ethernet以及802.11是否具有处理当前数据包的能力,有则复制走处理,没有跳过,去问下一个,而tcpdump注册的协议显然是来着不拒的(在某些参数下)同理如果把网卡打开混杂模式,即可从数据链路层监控所有的traffci,好像后文也说这些了,那么后面再说
补个图吧
Network Layers and Vantage
首先看二层Switch的两种情况,一种是所需监视的所有对象都处于一个冲突域下,Figure2-2,显然A-B-C-D都在一条总线上,这样我们把D的网卡打开到混杂模式即可监视所有流量,
第二种情况由于冲突域的划分,导致Swtich控制了所有的转发过程,专线之外的网卡完全接收不到其他总线上的数据,此时需要利用Swtich的镜像端口来复制所有流量,其实第一种情况也可以这么用,而现在没得选。
接下来看第三种情况的sensors部署,当上升到OSI第三层的情况下,及Routers作为中间的连接件,A-B的traffic只能经过上层Router,由C可以监控到,而由B-A的traffic只能经过下层Router,只能由D监控,这是一个简单的特殊例子,通常情况下其实他们应该在同一总线上,然而如果有多台设备,情况会更加复杂吧
Validity Challenges from Middlebox Network Data
在某个子网中,一些网络配置行为可能会极大的影响traffic的走向,以至于会造成以上三种状态的部署失效的可能。例如VPN之类。下面总结了一个行为与受影响的属性表格
