淺談ＩＰ網(wǎng)絡(luò)流量分析

一、前言

隨著網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，網(wǎng)絡(luò)中承載的業(yè)務(wù)也越來(lái)越豐富。企業(yè)需要及時(shí)了解到網(wǎng)絡(luò)中承載的業(yè)務(wù)，及時(shí)掌握網(wǎng)絡(luò)流量特征，及時(shí)解決網(wǎng)絡(luò)性能問(wèn)題。從這些企業(yè)管理網(wǎng)絡(luò)中所經(jīng)常遇到的問(wèn)題來(lái)看，需要有一種解決方案能讓網(wǎng)絡(luò)管理人員及時(shí)了解到詳細(xì)的網(wǎng)絡(luò)使用情形，使網(wǎng)絡(luò)管理人員及時(shí)洞察網(wǎng)絡(luò)運(yùn)行狀況，及時(shí)了解網(wǎng)內(nèi)應(yīng)用的執(zhí)行情況。

二、流量分析的應(yīng)用

1.基于SNMP 的流量分析

SNMP(Simple Network Management Protocol，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)，是一種廣為使用的網(wǎng)絡(luò)協(xié)議，基于SNMP 的流量分析就是通過(guò)SNMP 協(xié)議訪問(wèn)設(shè)備獲取MIB 庫(kù)中的端口流量信息。典型工具有MRTG(Multi Router Traffic Grapher)，MRTG 是一個(gè)實(shí)用的免費(fèi)軟件，MRTG 使用起來(lái)很方便，能夠非常直觀地顯示端口流量負(fù)載。但MRTG 的功能比較單一，其收集到的流量信息僅是簡(jiǎn)單的端口出、入流量統(tǒng)計(jì)信息，不能用于深入的流量分析。

2.RMON

RMON(Remote Monitoring，遠(yuǎn)程監(jiān)控)，是由IETF定義的一種遠(yuǎn)程監(jiān)控標(biāo)準(zhǔn)，RMON 是對(duì)SNMP 標(biāo)準(zhǔn)的擴(kuò)展， 它定義了標(biāo)準(zhǔn)功能以及網(wǎng)管站和遠(yuǎn)程監(jiān)控器之間的接口，實(shí)現(xiàn)對(duì)一個(gè)網(wǎng)段乃至整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量的監(jiān)視功能。

RMON 監(jiān)控器可用兩種方法收集數(shù)據(jù):一種是通過(guò)專(zhuān)用的RMON 探針(Probe)，流量探針安裝方便，但是流量探針價(jià)格昂貴， 不適合大面積部署。另一種方法是將RMON 代理直接植入網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)等)，但這種方式受網(wǎng)絡(luò)設(shè)備資源限制，一般不能獲取RMON MIB的所有數(shù)據(jù)，大多數(shù)只收集統(tǒng)計(jì)量、歷史、告警、事件等四個(gè)組的信息。

3.NetStream技術(shù)

NetStream是H3C基于“流”的概念，定義的一種用于路由器/交換機(jī)輸出網(wǎng)絡(luò)流量的統(tǒng)計(jì)數(shù)據(jù)的方法。路由器/交換機(jī)對(duì)通過(guò)其的IP數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)和分析，并上報(bào)給數(shù)據(jù)采集機(jī)，采集機(jī)把搜集的數(shù)據(jù)包及統(tǒng)計(jì)數(shù)據(jù)傳送到中心服務(wù)器，經(jīng)合并處理后存入數(shù)據(jù)庫(kù)，并進(jìn)行進(jìn)一步的分析處理。NetStream技術(shù)可利用網(wǎng)絡(luò)中數(shù)據(jù)流創(chuàng)造價(jià)值，并可在最大限度減小對(duì)路由器/交換機(jī)性能的影響的前提下提供詳細(xì)的數(shù)據(jù)流統(tǒng)計(jì)信息。

4.sFlow

sFlow(RFC3176)是2001 年由InMon 公司提出來(lái)的技術(shù)，sFlow(RFC3176)是IETF 的一個(gè)開(kāi)放標(biāo)準(zhǔn)，可提供完整的第二層到第四層、全網(wǎng)絡(luò)范圍內(nèi)的流量信息。

sFlow 監(jiān)控系統(tǒng)包括sFlow 代理、sFlow 數(shù)據(jù)采集器或sFlow 分析器，sFlow 代理通常為硬件芯片內(nèi)嵌到路由器或交換機(jī)中，通過(guò)統(tǒng)計(jì)采樣技術(shù)獲取流量信息形成sFlow 數(shù)據(jù)包， 并立即發(fā)送給sFlow 分析器進(jìn)行流量分析。sFlow 可以直接內(nèi)建在邊緣的二層或三層交換設(shè)備上提供覆蓋全網(wǎng)、實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控的功能，是一種很有發(fā)展前景的技術(shù)。

三、流量分析的應(yīng)用

NTE（NetTraffic Exporter）負(fù)責(zé)流量的采集和發(fā)送；NTC（NetTraffic Collector）設(shè)備負(fù)責(zé)收集和存儲(chǔ)NTE發(fā)來(lái)的流量統(tǒng)計(jì)數(shù)據(jù)信息；NTP（NetTraffic Processor）從數(shù)據(jù)庫(kù)中獲取收集到的數(shù)據(jù)，經(jīng)分析加工后以直觀的圖表、報(bào)表等方式為網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)監(jiān)控、流量趨勢(shì)分析、異常檢測(cè)等提供直接的數(shù)據(jù)依據(jù)。

各組成部分的關(guān)系如下圖所示：

1.流量監(jiān)控

網(wǎng)管人員可按照系統(tǒng)提供的參數(shù)來(lái)設(shè)定監(jiān)控條件，系統(tǒng)根據(jù)設(shè)定的監(jiān)控條件過(guò)濾得來(lái)流量記錄(Flow Record)并將符合監(jiān)控條件的統(tǒng)計(jì)資料存入系統(tǒng)數(shù)據(jù)庫(kù)中。最后，系統(tǒng)便可以從數(shù)據(jù)庫(kù)里讀取數(shù)據(jù)做成各種圖表(Report)。因此，網(wǎng)絡(luò)管理員可針對(duì)網(wǎng)絡(luò)的重要鏈路進(jìn)行流量監(jiān)控， 掌握不同鏈路的流量基線，及時(shí)了解鏈路的負(fù)載和發(fā)現(xiàn)問(wèn)題。

2.流量分析

網(wǎng)管人員可以開(kāi)啟實(shí)時(shí)監(jiān)控功能， 針對(duì)所設(shè)定的范圍做流量數(shù)據(jù)的收集與分析。在同一時(shí)間里，可以開(kāi)啟多個(gè)實(shí)時(shí)監(jiān)控窗口，每一窗口獨(dú)立監(jiān)控一項(xiàng)設(shè)定，并根據(jù)搜集得來(lái)的資料自動(dòng)排序，做成各種報(bào)表。

例如：網(wǎng)絡(luò)中近期BT 下載開(kāi)使流行，這是一種多點(diǎn)下載的源碼公開(kāi)的P2P 軟件， 它的特點(diǎn)是下載的人越多，下載速度越快，但網(wǎng)絡(luò)資源占用大，目前網(wǎng)絡(luò)中監(jiān)控到的BT 下載流量加起來(lái)已超過(guò)流媒體應(yīng)用， 給網(wǎng)絡(luò)造成一定壓力。通過(guò)定期對(duì)網(wǎng)絡(luò)中一些重要的特定流量進(jìn)行排名分析，將幫助網(wǎng)管管理員了解所轄網(wǎng)絡(luò)中的流入流向信息，以及應(yīng)用協(xié)議的分布狀況，有助于網(wǎng)絡(luò)管理員建立自己網(wǎng)絡(luò)的流量模型，在網(wǎng)絡(luò)維護(hù)或擴(kuò)容決策時(shí)，提供重要的參考。

3.異常流量分析

現(xiàn)在隨著IP 網(wǎng)絡(luò)不斷擴(kuò)大， 網(wǎng)絡(luò)中也經(jīng)常會(huì)出現(xiàn)黑客攻擊、病毒泛濫的情況，而這些網(wǎng)絡(luò)突發(fā)事件從設(shè)備和網(wǎng)管的角度看卻很難發(fā)現(xiàn)問(wèn)題，經(jīng)常也讓網(wǎng)絡(luò)管理員感到棘手，因此，針對(duì)網(wǎng)絡(luò)中突發(fā)性的異常流量分析將有助于網(wǎng)絡(luò)管理員發(fā)現(xiàn)和解決問(wèn)題。（如下圖例）

分析：

10.153.120.51：個(gè)人設(shè)備S05947，3月8日晚19：00左右開(kāi)始，每10s向同網(wǎng)段多個(gè)IP地址發(fā)送UDP廣播報(bào)文，長(zhǎng)度為固定的65字節(jié)，源端口、目的端口均為7777，總流量不大，僅為0.25GB。進(jìn)一步查看該IP地址流量發(fā)現(xiàn)大量25000以上連續(xù)動(dòng)態(tài)端口，TCP協(xié)議流量，1小時(shí)內(nèi)總流量達(dá)到1GB。從報(bào)文特征判斷，初步懷疑該員工使用PPLive連接外網(wǎng)服務(wù)器下載觀看網(wǎng)絡(luò)電視，經(jīng)聯(lián)系信息安全部門(mén)人員查證核實(shí)，確知該員工非法安裝PPLive軟件，違反公司相關(guān)規(guī)定，及時(shí)對(duì)該員工進(jìn)行了處理。

四、結(jié)束語(yǔ)

通過(guò)以上應(yīng)用可以看出，IP 網(wǎng)絡(luò)流量分析可以提供大量詳盡的數(shù)據(jù)，供網(wǎng)管人員從多個(gè)方面更好地維護(hù)、優(yōu)化IP 網(wǎng)絡(luò)，提升IP 網(wǎng)絡(luò)的性能;同時(shí)還能為業(yè)務(wù)應(yīng)用層面提供數(shù)據(jù)依據(jù)，為特定客戶(hù)提供流量分析服務(wù)，比如網(wǎng)站流量統(tǒng)計(jì)分析等;也可作為網(wǎng)絡(luò)安全的輔助手段，處理網(wǎng)絡(luò)病毒等異常事件。因此，可以預(yù)見(jiàn)，隨著網(wǎng)絡(luò)的發(fā)展，流量分析工作將在網(wǎng)絡(luò)管理中起到越來(lái)越重要的作用。

參考文獻(xiàn)

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第4版）.電子工業(yè)出版社，2003.

[2] W.Richard Stevens.任守奎，等，譯.TCP/IP詳解（第一卷 協(xié)議）.北京大學(xué)出版社，1999.

[3]網(wǎng)絡(luò)流量分析解決方案技術(shù)白皮書(shū).2005.

[4] 吳禮發(fā)，謝希仁.網(wǎng)絡(luò)原理與技術(shù)教程.北京希望電子出版社，2002.