摘 要 網(wǎng)絡(luò)流量的統(tǒng)計(jì)與分析技術(shù)在企業(yè)網(wǎng)絡(luò)故障的排除過程中是解決問題的開始,通過分析網(wǎng)絡(luò)中的數(shù)據(jù)流量和網(wǎng)絡(luò)協(xié)議的分布情況來分析故障的原因,為后續(xù)決策提供依據(jù)。本文主要探討了網(wǎng)絡(luò)流量統(tǒng)計(jì)與分析的對解決網(wǎng)絡(luò)故障的重要性及其實(shí)現(xiàn)的幾種方式。
【關(guān)鍵詞】網(wǎng)絡(luò)流量 流量統(tǒng)計(jì) 流量分析 Sniffer NetFlow
隨著互聯(lián)網(wǎng)業(yè)務(wù)的飛速發(fā)展,企業(yè)網(wǎng)絡(luò)面臨著各種各樣的威脅,企業(yè)的網(wǎng)絡(luò)性能也隨著用戶的行為和應(yīng)用的多樣化變得難以控制,這使得網(wǎng)管理員頭痛不已。這時(shí)候?qū)ζ髽I(yè)的網(wǎng)絡(luò)進(jìn)行流量統(tǒng)計(jì)與分析就顯得尤為重要,通過分析網(wǎng)絡(luò)管理員能夠了解網(wǎng)絡(luò)協(xié)議流量分布情況,了解應(yīng)用運(yùn)行的訪問量、響應(yīng)等數(shù)據(jù),對用戶的異常網(wǎng)絡(luò)行為如違規(guī)流量、攻擊流量能夠快速發(fā)現(xiàn),為制定企業(yè)網(wǎng)絡(luò)的安全策略、進(jìn)行流整形提供依據(jù),進(jìn)而解決企業(yè)網(wǎng)絡(luò)緩慢的現(xiàn)象?,F(xiàn)在的網(wǎng)絡(luò)流量統(tǒng)計(jì)與分析技術(shù)有基于網(wǎng)絡(luò)原始流量的統(tǒng)計(jì)與分析、基于網(wǎng)絡(luò)采樣數(shù)據(jù)的統(tǒng)計(jì)與分析和基于干路中橋接設(shè)備的流量統(tǒng)計(jì)與分析等方式,這幾種方式的實(shí)現(xiàn)有采用Sniffer軟件、采用cisco網(wǎng)絡(luò)設(shè)備內(nèi)置的NetFlow功能和在出口網(wǎng)路上橋接流量監(jiān)控設(shè)備等方式來實(shí)現(xiàn)統(tǒng)計(jì)與分析網(wǎng)絡(luò)流量。
1 基于網(wǎng)絡(luò)原始流量的統(tǒng)計(jì)與分析
1.1 Sniffer技術(shù)
Sniffer軟件就是基于網(wǎng)絡(luò)原始流量統(tǒng)計(jì)分析的一種技術(shù),其原理是通過網(wǎng)絡(luò)設(shè)備的端口鏡像技術(shù),實(shí)現(xiàn)采集網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)與分析。采用這種技術(shù)方式的好處是完全獲取了網(wǎng)絡(luò)的所有流量,其中包括了豐富的應(yīng)用層信息,網(wǎng)絡(luò)管理員可以對其進(jìn)行深度分析,甚至是用戶使用的搜索關(guān)鍵字都可以進(jìn)行分析,這種方式實(shí)施最為簡單,幾乎不會(huì)對網(wǎng)絡(luò)中數(shù)據(jù)的傳輸產(chǎn)生額外的延時(shí),但是因?yàn)槭褂没诰W(wǎng)絡(luò)原始流量分析,需要收集所有數(shù)據(jù)幀,所以弊端就是數(shù)據(jù)量過于龐大,分析端的負(fù)載重,數(shù)據(jù)處理的工作任務(wù)繁重。
1.2 Sniffer技術(shù)的實(shí)現(xiàn)
Sniffer技術(shù)的實(shí)現(xiàn),首先要在交換機(jī)上配置端口鏡像的功能,將網(wǎng)絡(luò)主干的鏈路接口鏡像到另一個(gè)接口上做統(tǒng)計(jì)與分析,配置如下:
S1(config)#monitor session 1 source interface fastEthernet 0/1
S1(config)#monitor session 1 destination interface fastEthernet 0/4
然后將裝有Sniffer的協(xié)議分析平臺接入到鏡像接口上,并啟動(dòng)Sniffer軟件就可以對網(wǎng)絡(luò)的整體流量做完整的統(tǒng)計(jì)與分析了。
2 基于網(wǎng)絡(luò)采樣數(shù)據(jù)的統(tǒng)計(jì)與分析
2.1 NetFlow技術(shù)
NetFlow是Cisco公司提出的一種數(shù)據(jù)交換標(biāo)準(zhǔn),在實(shí)際應(yīng)用中都進(jìn)行采樣的統(tǒng)計(jì)方式。其原理是開啟路由器和交換機(jī)中的NetFlow功能,動(dòng)態(tài)地收集經(jīng)過路由器的流的信息記錄到設(shè)備的高速緩存中,再將滿足規(guī)則的流記錄上報(bào)到外部的收集平臺來進(jìn)行分析。這樣做更有助于網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)絡(luò)流量,識別具體流量類型、統(tǒng)計(jì)會(huì)話數(shù)并進(jìn)行網(wǎng)絡(luò)流量的整形控制。NetFlow的優(yōu)點(diǎn)是在數(shù)據(jù)交換的同時(shí)對數(shù)據(jù)流信息進(jìn)行統(tǒng)計(jì),有著速度快、方便、高效的優(yōu)點(diǎn),現(xiàn)在被很多的商家廣泛的使用,但它也有一定的弊端,如網(wǎng)絡(luò)設(shè)備要能夠支持NetFlow,另外還需要購置NetFlow的采集軟件,這對于資金不是很充足的企業(yè)客戶無疑是一筆額外的支出。
2.2 NetFlow技術(shù)實(shí)現(xiàn)
一個(gè)NetFlow流量統(tǒng)計(jì)與分析平臺包括3個(gè)主要的部份:探測器、采集器和報(bào)告系統(tǒng)。探測器的作用是監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)的,采集器是用來收集探測器傳來的數(shù)據(jù)的,報(bào)告系統(tǒng)是用來從采集器收集到的數(shù)據(jù)中產(chǎn)生易讀懂的報(bào)告。
NetFlow技術(shù)的實(shí)現(xiàn)首先需要配置設(shè)備有一個(gè)統(tǒng)一的時(shí)鐘源,以保證NetFlow的收集平臺顯示數(shù)據(jù)流量的時(shí)候提供正確的采集時(shí)間,配置命令如下:
R1#clock set 23:00:00 6 mar 2015 //設(shè)置時(shí)間
R1(config)#ntp master //設(shè)置R1作為時(shí)鐘源
R1(config)#ntp e1/0 //設(shè)置時(shí)鐘消息更新源接口
第二步、其它的網(wǎng)絡(luò)設(shè)備需要利用ntp server 命令來獲得時(shí)鐘來源
R2(config)#ntp server 192.168.0.1 //192.168.0.1指的是時(shí)鐘源的路由器接口IP
第三步、在連接路由器R2要啟動(dòng)NetFlow功能,以IP地址192.168.5.100為例,指令ip flow-export destination 192.168.5.100 9996指示NetFlow探測器要將收集到的流量發(fā)送到192.168.5.100,使用9996號端口進(jìn)行發(fā)送。
R2(config)#ip flow-export destination 192.168.5.100 9996
R2(config)#ip flow-export version 5 //指定開啟NetFlow的版本
R2(config)#interface e1/0 //指定接口
R2(config-if)ip flow ingress //對進(jìn)入流量進(jìn)行采集
R2(config-if)ip flow egress //對出站流量進(jìn)行采集
第四步:在192.168.5.100的主機(jī)上安裝NetFlow集中采集平臺,最后在IE瀏覽器輸入IP地址192.168.5.100:8080來登陸,在平臺中進(jìn)行流量的統(tǒng)計(jì)與分析。
3 基于干路中橋接設(shè)備的流量統(tǒng)計(jì)與分析
3.1 以DPI技術(shù)為核心的流量統(tǒng)計(jì)與分析
基于干路中橋接設(shè)備的流量統(tǒng)計(jì)與分析方法的原理是采用的是以DPI(Deep packet inspection,深度數(shù)據(jù)包檢測)為核心的一種技術(shù)。DPI是一種基于應(yīng)用層的流量檢測和控制技術(shù),DPI 技術(shù)在分析包頭的基礎(chǔ)上,增加了對應(yīng)用層的分析,當(dāng)TCP 、IP 數(shù)據(jù)包或UDP 數(shù)據(jù)流經(jīng)過基于DPI 技術(shù)的網(wǎng)絡(luò)設(shè)備時(shí),DPI 引擎通過深入讀取IP 包載荷的內(nèi)容來對OSI 7 層中的應(yīng)用層信息進(jìn)行重組,從而識別出IP 包的應(yīng)用層協(xié)議。
基于DPI技術(shù)的流量統(tǒng)計(jì)與分析方法需要維護(hù)一個(gè)應(yīng)用特征碼數(shù)據(jù)庫,當(dāng)網(wǎng)絡(luò)流量經(jīng)過DPI技術(shù)的檢測設(shè)備時(shí),通過將解包后的應(yīng)用信息與后臺特征碼數(shù)據(jù)庫進(jìn)行比對來確定應(yīng)用類型;它像防病毒軟件一樣,應(yīng)用特征碼數(shù)據(jù)庫也要更新才能具有對新型應(yīng)用的識別和控制能力。它的優(yōu)點(diǎn)是對數(shù)據(jù)的捕獲能力強(qiáng)并具有強(qiáng)大的控制能力,可以捕獲不同網(wǎng)段的數(shù)據(jù),不需要主干交換設(shè)備支持,但是它對設(shè)備的處理能力要求高,容易造成網(wǎng)絡(luò)瓶頸,價(jià)格昂貴。
3.2 基于干路中橋接設(shè)備技術(shù)實(shí)現(xiàn)
干路橋接設(shè)備通過是以透明網(wǎng)橋方式部署在企業(yè)網(wǎng)絡(luò)的出口線路上,對線路上的進(jìn)出流量進(jìn)行統(tǒng)計(jì)、分析,同時(shí)還可以根據(jù)網(wǎng)絡(luò)管理員制定的策略、規(guī)則進(jìn)行流量整形。
4 結(jié)束語
無論是網(wǎng)絡(luò)原始數(shù)據(jù)統(tǒng)計(jì)與分析、采樣數(shù)據(jù)統(tǒng)計(jì)與分析還是DPI技術(shù)為核心的流量統(tǒng)計(jì)分析,都可以為網(wǎng)絡(luò)和應(yīng)用問題分析提供數(shù)據(jù)包級別的分析能力,NetFlow和Sniffer都采用軟件來實(shí)現(xiàn),因此成本低,但有漏捕的可能;基于干路橋接設(shè)備的DPI技術(shù),應(yīng)用識別率高,捕獲數(shù)據(jù)全并且有強(qiáng)大的控制能力,但是設(shè)備的處理能力要求高,設(shè)備串聯(lián)在網(wǎng)絡(luò)的出口鏈路上成為網(wǎng)絡(luò)瓶頸的可能性較大,設(shè)備也比較昂貴。企業(yè)的網(wǎng)絡(luò)管理人員可以根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)與環(huán)境的不同,選擇不同的方法進(jìn)行網(wǎng)絡(luò)流量的統(tǒng)計(jì)與分析。
參考文獻(xiàn)
[1]張婧婧,陳福文.互聯(lián)網(wǎng)流量分析技術(shù)及部署方案[J].情報(bào)理論與實(shí)踐,2013,10(19):71-75.
[2]董暉.使用Netflow進(jìn)行網(wǎng)絡(luò)流量監(jiān)管[J].計(jì)算機(jī)與網(wǎng)絡(luò),2007,06(11):38-39.
[3]孫蕊.一個(gè)面向IPv6的流量監(jiān)測原型系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].東北大學(xué),2010.
作者簡介
彭錦(1982-),男,廣東省惠州市人。大學(xué)本科學(xué)歷。講師。研究方向?yàn)榫W(wǎng)絡(luò)信息安全。
作者單位
廣東省技師學(xué)院 廣東省惠州市 516100