甲骨文云-使用 VTAP 进行网络流量取证分析：揭秘数字世界的秘密

在云服务领域，Oracle Cloud Infrastructure (OCI) 的 Virtual Test Access Point (VTAP) 特性，为您的网络流量提供了数据包捕获能力，收集进行深入网络分析所需的数据。从理论上讲，数据包捕获是指捕获网络流量以供审查和分析。实际上，这意味着捕获任何显示可疑活动区域的所有可能的数据出入路径。

VTAP 作为 OCI 的原生服务，提供了完整的网络捕获和分析功能。在 OCI 中，源 VTAP 根据捕获过滤器捕获流量，使用 VXLAN 协议进行封装，并将其镜像到指定的目标。您可以使用标准的流量分析工具实时监控和分析镜像流量，或者将流量存储起来，以便日后进行更全面的取证分析。

架构

这一架构利用 VTAP 捕获虚拟机 VNIC 和 Autonomous Data Warehouse 的网络流量。VTAP 数据流向网络负载均衡器，并被路由至 VTAP Traffic Data 计算实例。以下图表展示了这一参考架构。

VTAP 可以从以下来源镜像流量：

• 子网中的单个计算实例 VNIC
• 作为服务的负载均衡器 (LBaaS)
• OCI 数据库
• Exadata VM 集群
• 通过私有端点的 Autonomous Data Warehouse

在这种架构中，我们正在镜像来自 Web 服务器 VNIC 和 Autonomous Data Warehouse 的流量。VTAP 捕获通过 VNIC 的所有数据包。VTAP 流量捕获流向网络负载均衡器，该均衡器将其定向到计算实例。如网络取证工具之类的监听器接收流量，并允许您分析数据并重构客户端/服务器交互，即使在集群拓扑中也能做到。这为取证分析团队提供了更广泛的数据，并且几乎可以即时设置，同时提供实时访问和分析能力。

通过您的取证工具，您还可以将捕获的数据发送到 OCI 对象存储，通过存储网关。存储网关随后设置数据的适当生命周期和访问策略，确保数据不被修改、丢失或损坏。

OCI 对象存储满足长期记录保留的法规和法律要求，无论是在高耐用性还是高可用性方面。您还可以通过启用如对象锁定和不可变对象与桶类型等策略，确保在取证过程中不对数据进行操纵。您可以使用标准的 OCI 文件存储来访问对象，以便与需要更传统的层级文件系统布局的其他工具配合使用。

这个参考架构包含以下组件。

区域（Region）

• Oracle Cloud Infrastructure 区域是一个地理上局限的地区，包含一个或多个被称为可用性域的数据中心。区域与其他区域相互独立，它们之间可能相隔很远（跨越国家甚至大洲）。

可用性域（Availability Domains）

• 可用性域是区域内独立、自主的数据中心。每个可用性域内的物理资源与其他可用性域的资源隔离，从而提供故障容忍性。可用性域不共享诸如电源或冷却系统，或内部可用性域网络的基础设施。因此，一个可用性域的故障不太可能影响该区域内的其他可用性域。

故障域（Fault Domains）

• 故障域是可用性域内硬件和基础设施的分组。每个可用性域拥有三个带有独立电源和硬件的故障域。当您在多个故障域中分布资源时，您的应用程序能够容忍故障域内的物理服务器故障、系统维护和电源故障。

虚拟云网络（VCN）和子网

• VCN 是您在 Oracle Cloud Infrastructure 区域中设置的可定制、软件定义的网络。与传统数据中心网络一样，VCN 使您能够完全控制网络环境。VCN 可以拥有多个不重叠的 CIDR 块，您可以在创建 VCN 后更改这些块。您可以将 VCN 划分为子网，子网可以限定在一个区域或一个可用性域。每个子网包含一系列连续的、不与 VCN 中其他子网重叠的地址。您可以在创建后更改子网的大小。子网可以是公共的或私有的。

灵活的网络负载均衡服务（Network Load Balancer）

• 网络负载均衡器通过将一个入口点的流量自动分配到虚拟云网络（VCN）中的多个后端服务器来提供服务。它在连接层级运行，根据第 3/第 4 层（IP 协议）数据，将传入的客户端连接负载均衡到健康的后端服务器。

互联网网关（Internet Gateway）

• 互联网网关允许 VCN 中的公共子网与公共互联网之间的流量交换。

网络地址转换（NAT）网关

• NAT 网关使 VCN 中的私有资源能够访问互联网上的主机，而不将这些资源暴露给传入的互联网连接。

自治数据仓库（Autonomous Data Warehouse）

• Oracle Autonomous Data Warehouse 是一种自驾、自保护、自修复的数据库服务，专为数据仓库工作负载优化。您无需配置或管理任何硬件，也无需安装任何软件。Oracle Cloud Infrastructure 负责创建数据库，以及备份、打补丁、升级和调优数据库。

对象存储（Object Storage）

• 对象存储提供对大量结构化和非结构化数据的快速访问，包括数据库备份、分析数据以及图像和视频等丰富内容。您可以安全地存储数据，然后直接从互联网或云平台内检索数据。您可以无缝扩展存储，而不会遭遇性能降低或服务可靠性下降。对于您需要快速、立即且频繁访问的“热”存储，使用标准存储。对于您长期保留且很少或极少访问的“冷”存储，使用归档存储。

安全列表（Security List）

• 对于每个子网，您可以创建安全规则，指定必须允许进出子网的流量的源、目的地和类型。

路由表（Route Table）

• 虚拟路由表包含规则，用于将流量从子网路由到 VCN 外部的目的地，通常通过网关。

推荐方案

使用以下建议作为设置和使用 VTAP 进行虚拟网络取证分析的起点。您的需求可能与此处描述的架构不同。

流量优先级

• 启用 VTAP 优先模式。这确保了被监控流量和 VTAP 镜像流量获得等同的优先权。启用此模式时，如果源拥堵，镜像流量可能导致一些被监控流量丢失。如果检测到这种数据包丢失，您可以选择禁用优先模式或升级源形状以容纳更多带宽。

取证和审计

• 配置您的对象存储，以确保可以可靠地审计您的数据。最佳实践包括审计日志和使用 md5 校验和来验证数据未被篡改。

考虑因素

在启用 VTAP 数据收集时，请考虑以下设置选项。

VTAP 可用性

• VTAP 功能正在全球范围内推出，但可能不会立即在所有地理区域可用。我们建议您在计划使用之前确认它在您的区域是否可用。

成本

• VTAP 本身不收费。然而，VTAP 增加了 VNIC 上的流量，这确实会产生费用。通过应用特定于您正在分析的应用程序的 VTAP 捕获过滤器（例如 HTTP/80 或 HTTPS/443），可以减少所需资源。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门。