網(wǎng)絡(luò)流量分析現(xiàn)狀

[摘要]網(wǎng)絡(luò)流量分析是指捕捉網(wǎng)絡(luò)中流動的數(shù)據(jù)包,并通過查看包內(nèi)部數(shù)據(jù)以及進行相關(guān)的協(xié)議、流量分析、統(tǒng)計等來發(fā)現(xiàn)網(wǎng)絡(luò)運行過程中出現(xiàn)的問題,它是網(wǎng)絡(luò)和系統(tǒng)管理人員進行網(wǎng)絡(luò)故障和性能診斷的有效工具。

[關(guān)鍵詞]網(wǎng)絡(luò)流量流(Flow)

中圖分類號:TP3文獻標(biāo)識碼:A文章編號:1671-7597(2009)1210099-01

隨著IT、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和企業(yè)信息化程度的不斷提高,各種網(wǎng)絡(luò)應(yīng)用越來越豐富。因此,如何保證網(wǎng)絡(luò)的可用性和關(guān)鍵業(yè)務(wù)的暢通運行,對網(wǎng)絡(luò)正常健康的發(fā)展將起到至關(guān)重要的作用。維持正常網(wǎng)絡(luò)運轉(zhuǎn),就需要有相應(yīng)的技術(shù)手段,明確了解網(wǎng)絡(luò)上各種應(yīng)用的帶寬占用情況,分析用戶流量行為,以便合理的規(guī)劃和分配網(wǎng)絡(luò)帶寬,有效地保障關(guān)鍵業(yè)務(wù)應(yīng)用的正常運行。尤其是在發(fā)生流量異常的同時,迅速有效的分離和抑制異常流量,對非法業(yè)務(wù)實行遏止,使網(wǎng)絡(luò)流量能保持其健壯性。

常用的網(wǎng)絡(luò)流量和協(xié)議分析有四種方法:

一、基于SNMP

MRTG是最常使用并且最典型的一種基于SNMP的產(chǎn)品。其安裝過程非常簡便,其結(jié)果輸出采用Web頁面方式,因此需要在相應(yīng)的平臺上安裝發(fā)布系統(tǒng),如NT上需要安裝IIS,UNIX則需要安裝apache。MRTG通常被網(wǎng)絡(luò)管理人員用來收集網(wǎng)絡(luò)節(jié)點端口流量統(tǒng)計信息,是典型的監(jiān)視網(wǎng)絡(luò)鏈路流量負荷的工具。MRTG的定制非常方便,一般可以在網(wǎng)絡(luò)的重要節(jié)點端口和故障發(fā)生頻繁的網(wǎng)絡(luò)設(shè)備處利用MRTG進行監(jiān)視,這些監(jiān)視包括:關(guān)鍵鏈路流量和關(guān)鍵節(jié)點性能狀況。

MRTG的優(yōu)點是安裝、定制簡單,結(jié)果采用Web方式輸出方便實用,而且是免費產(chǎn)品,在世界各地有很多的開發(fā)人員不斷對其升級和改進。MRTG的缺點是功能較單一,分析功能不強,其收集到的流量信息是端口的統(tǒng)計信息,不能用于復(fù)雜的分析。

二、基于網(wǎng)絡(luò)探針(Probe)

流量探針是一種用來獲取網(wǎng)絡(luò)流量的硬件設(shè)備,使用時將它串接在需要捕捉流量的鏈路中,通過分流鏈路上的數(shù)字信號而獲取流量信息,分析的結(jié)果存儲在探針的內(nèi)存或磁盤之中,具體的前端展現(xiàn)依賴與之對應(yīng)的專門軟件。因此具有效率高、可靠性高、高速運行不丟包的特點。流量探針安裝非常方便,可以實時將RMON II的流量信息完全記錄下來,這對分析網(wǎng)絡(luò)的性能和故障很有價值。如果將流量探針串接到Catalyst系列交換機端口,開啟端口映射(Span Port)功能,將各個端口的流量映射到安裝了流量探針的端口,則僅通過對一個端口的監(jiān)測就可以收集到多個端口的流量信息。端口映射(Span Port)是由Cisco公司提出的概念,在其Catalyst系列設(shè)備上都可以實現(xiàn)。其它廠商如Foundry公司的交換機也提供端口映射的功能,但現(xiàn)在還不支持跨交換機的映射。

流量探針的安裝很簡單,可以用于高速(千兆)的網(wǎng)絡(luò)而不影響網(wǎng)絡(luò)性能,流量探針可以實時捕捉包,但其成本高,不同的物理鏈路,因其采樣方法也不同,而需要使用不同種探針。

三、基于實時抓包分析

基于實時抓包的分析技術(shù)提供詳細的從物理層到應(yīng)用層的數(shù)據(jù)分析。但該方法主要側(cè)重于協(xié)議分析,而非用戶流量訪問統(tǒng)計和趨勢分析,僅能在短時間內(nèi)對流經(jīng)接口的數(shù)據(jù)包進行分析,無法滿足大流量、長期的抓包和趨勢分析的要求。常見的產(chǎn)品有NAI的Sniffer Pro,免費的tcpdump、ethereal等。

通過端口映射Sniffer Portable可以實時采集多種數(shù)據(jù)并保存到數(shù)據(jù)庫中,同時可以通過其分析部件實時監(jiān)視和顯示這些數(shù)據(jù)的統(tǒng)計信息。利用Sniffer Portable的數(shù)據(jù)捕捉功能可以在短時間內(nèi)對網(wǎng)絡(luò)流量進行實時采集,這些采集到的流量數(shù)據(jù)可以包含整個包的信息,也可以只是包的一部分。利用捕獲到的包可以進行協(xié)議分析、數(shù)據(jù)重組(如重組E-mail)等工作。對包的解碼和分析是Sniffer工具的一個最有特色的,也是最強大的功能。

當(dāng)不采用廠家的特殊硬件系統(tǒng),Sniffer Portable只能用于100Mbit/s

及以下速率鏈路,網(wǎng)絡(luò)中可以安裝多個Sniffer Portable,但它們都是相互獨立的,分別有各自的數(shù)據(jù)庫,收集到的數(shù)據(jù)獨立存放,這對于整個網(wǎng)絡(luò)的分析帶來一定難度,因此它特別適合小范圍內(nèi)的性能維護和分析;Sniffer Portable分析能力特別強大,可以解析近370種協(xié)議。當(dāng)要求對更高速(GE或POS 2.5Gbit/s)的鏈路采集流量,或者是全面收集大型網(wǎng)絡(luò)的流量時,可以采用Sniffer的硬件產(chǎn)品及其分布式系統(tǒng),但其價格昂貴。

四、基于流(Flow)的流量分析

目前基于流的分析技術(shù)主要有兩種:sFlow和NetFlow。sFlow是由InMon、HP和Foundry Networks聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測技術(shù),它采用數(shù)據(jù)流隨機采樣技術(shù),可以適應(yīng)超大網(wǎng)絡(luò)流量(如大于2.5Gbps)環(huán)境下的流量分析,讓用戶詳細、實時地分析網(wǎng)絡(luò)傳輸流的性能、趨勢和存在的問題。目前,僅有HP、Foundry和Extreme Networks等廠商的部分型號的交換機支持sFlow。NetFlow[13]是Cisco公司開發(fā)的技術(shù),它既是一種交換技術(shù),又是一種流量分析技術(shù),同時也是業(yè)界主流的計費技術(shù)之一。它可以回答有關(guān)IP流量的如下問題:誰在什么時間、在什么地方、使用何種協(xié)議、訪問誰、具體的流量是多少等問題。NetFlow因為其技術(shù)和Cisco網(wǎng)絡(luò)產(chǎn)品的市場占有率優(yōu)勢而成為當(dāng)今主流的流量分析技術(shù)之一。NetFlow的配置非常方便、安裝簡單,除了需要在路由器上配置之外,只需要一臺UNIX工作站作為流的收集工作站,所有路由器或交換機上發(fā)送的NetFlow流都將送到此工作站集中,方便處理和分析。NetFlow流信息量特別豐富,可以為流量分布、業(yè)務(wù)分布等性能分析提供最充足的數(shù)據(jù),但需要消耗一定的路由器資源(CPU和內(nèi)存)且不能實時捕捉數(shù)據(jù)包。根據(jù)NetFlow的特點可知,其非常適用于大型的網(wǎng)絡(luò),和流量探針、Sniffer等比較,NetFlow成本最低,實施最方便,而且不受速率的限制,是數(shù)據(jù)流量采集的發(fā)展方向。

基于Flow的分析方法將成為趨勢,在上面所提到的四種方法中,基于Flow的分析方法應(yīng)該是網(wǎng)絡(luò)流量分析技術(shù)的趨勢。這是它的技術(shù)實現(xiàn)理論所決定的。

參考文獻:

[1]朱士瑞,基于小波分析的異常檢測系統(tǒng)[D].江蘇大學(xué)碩士學(xué)位論文,2006.

[2]陳寶鋼、張凌、許勇,基于P2P應(yīng)用的網(wǎng)絡(luò)流量特征分析[J].計算機應(yīng)用,2005,Vol.27,No.3.

[3]顧榮杰、晏蒲柳、鄒濤,基于統(tǒng)計方法的骨干網(wǎng)異常流量建模與預(yù)警方法研究[J].計算機科學(xué),2006,Vol.33,No.2.

作者簡介:

房亞群,女,畢業(yè)于南京師范大學(xué),計算機科學(xué)與技術(shù)專業(yè),現(xiàn)就職于江蘇食品職業(yè)技術(shù)學(xué)院計算機系,研究方向:計算機網(wǎng)絡(luò)技術(shù)。