網(wǎng)絡(luò)流量分析現(xiàn)狀

[摘要]網(wǎng)絡(luò)流量分析是指捕捉網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)包,并通過(guò)查看包內(nèi)部數(shù)據(jù)以及進(jìn)行相關(guān)的協(xié)議、流量分析、統(tǒng)計(jì)等來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行過(guò)程中出現(xiàn)的問(wèn)題,它是網(wǎng)絡(luò)和系統(tǒng)管理人員進(jìn)行網(wǎng)絡(luò)故障和性能診斷的有效工具。

[關(guān)鍵詞]網(wǎng)絡(luò)流量流(Flow)

中圖分類(lèi)號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1210099-01

隨著IT、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和企業(yè)信息化程度的不斷提高,各種網(wǎng)絡(luò)應(yīng)用越來(lái)越豐富。因此,如何保證網(wǎng)絡(luò)的可用性和關(guān)鍵業(yè)務(wù)的暢通運(yùn)行,對(duì)網(wǎng)絡(luò)正常健康的發(fā)展將起到至關(guān)重要的作用。維持正常網(wǎng)絡(luò)運(yùn)轉(zhuǎn),就需要有相應(yīng)的技術(shù)手段,明確了解網(wǎng)絡(luò)上各種應(yīng)用的帶寬占用情況,分析用戶(hù)流量行為,以便合理的規(guī)劃和分配網(wǎng)絡(luò)帶寬,有效地保障關(guān)鍵業(yè)務(wù)應(yīng)用的正常運(yùn)行。尤其是在發(fā)生流量異常的同時(shí),迅速有效的分離和抑制異常流量,對(duì)非法業(yè)務(wù)實(shí)行遏止,使網(wǎng)絡(luò)流量能保持其健壯性。

常用的網(wǎng)絡(luò)流量和協(xié)議分析有四種方法:

一、基于SNMP

MRTG是最常使用并且最典型的一種基于SNMP的產(chǎn)品。其安裝過(guò)程非常簡(jiǎn)便,其結(jié)果輸出采用Web頁(yè)面方式,因此需要在相應(yīng)的平臺(tái)上安裝發(fā)布系統(tǒng),如NT上需要安裝IIS,UNIX則需要安裝apache。MRTG通常被網(wǎng)絡(luò)管理人員用來(lái)收集網(wǎng)絡(luò)節(jié)點(diǎn)端口流量統(tǒng)計(jì)信息,是典型的監(jiān)視網(wǎng)絡(luò)鏈路流量負(fù)荷的工具。MRTG的定制非常方便,一般可以在網(wǎng)絡(luò)的重要節(jié)點(diǎn)端口和故障發(fā)生頻繁的網(wǎng)絡(luò)設(shè)備處利用MRTG進(jìn)行監(jiān)視,這些監(jiān)視包括:關(guān)鍵鏈路流量和關(guān)鍵節(jié)點(diǎn)性能狀況。

MRTG的優(yōu)點(diǎn)是安裝、定制簡(jiǎn)單,結(jié)果采用Web方式輸出方便實(shí)用,而且是免費(fèi)產(chǎn)品,在世界各地有很多的開(kāi)發(fā)人員不斷對(duì)其升級(jí)和改進(jìn)。MRTG的缺點(diǎn)是功能較單一,分析功能不強(qiáng),其收集到的流量信息是端口的統(tǒng)計(jì)信息,不能用于復(fù)雜的分析。

二、基于網(wǎng)絡(luò)探針(Probe)

流量探針是一種用來(lái)獲取網(wǎng)絡(luò)流量的硬件設(shè)備,使用時(shí)將它串接在需要捕捉流量的鏈路中,通過(guò)分流鏈路上的數(shù)字信號(hào)而獲取流量信息,分析的結(jié)果存儲(chǔ)在探針的內(nèi)存或磁盤(pán)之中,具體的前端展現(xiàn)依賴(lài)與之對(duì)應(yīng)的專(zhuān)門(mén)軟件。因此具有效率高、可靠性高、高速運(yùn)行不丟包的特點(diǎn)。流量探針安裝非常方便,可以實(shí)時(shí)將RMON II的流量信息完全記錄下來(lái),這對(duì)分析網(wǎng)絡(luò)的性能和故障很有價(jià)值。如果將流量探針串接到Catalyst系列交換機(jī)端口,開(kāi)啟端口映射(Span Port)功能,將各個(gè)端口的流量映射到安裝了流量探針的端口,則僅通過(guò)對(duì)一個(gè)端口的監(jiān)測(cè)就可以收集到多個(gè)端口的流量信息。端口映射(Span Port)是由Cisco公司提出的概念,在其Catalyst系列設(shè)備上都可以實(shí)現(xiàn)。其它廠(chǎng)商如Foundry公司的交換機(jī)也提供端口映射的功能,但現(xiàn)在還不支持跨交換機(jī)的映射。

流量探針的安裝很簡(jiǎn)單,可以用于高速(千兆)的網(wǎng)絡(luò)而不影響網(wǎng)絡(luò)性能,流量探針可以實(shí)時(shí)捕捉包,但其成本高,不同的物理鏈路,因其采樣方法也不同,而需要使用不同種探針。

三、基于實(shí)時(shí)抓包分析

基于實(shí)時(shí)抓包的分析技術(shù)提供詳細(xì)的從物理層到應(yīng)用層的數(shù)據(jù)分析。但該方法主要側(cè)重于協(xié)議分析,而非用戶(hù)流量訪(fǎng)問(wèn)統(tǒng)計(jì)和趨勢(shì)分析,僅能在短時(shí)間內(nèi)對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行分析,無(wú)法滿(mǎn)足大流量、長(zhǎng)期的抓包和趨勢(shì)分析的要求。常見(jiàn)的產(chǎn)品有NAI的Sniffer Pro,免費(fèi)的tcpdump、ethereal等。

通過(guò)端口映射Sniffer Portable可以實(shí)時(shí)采集多種數(shù)據(jù)并保存到數(shù)據(jù)庫(kù)中,同時(shí)可以通過(guò)其分析部件實(shí)時(shí)監(jiān)視和顯示這些數(shù)據(jù)的統(tǒng)計(jì)信息。利用Sniffer Portable的數(shù)據(jù)捕捉功能可以在短時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)采集,這些采集到的流量數(shù)據(jù)可以包含整個(gè)包的信息,也可以只是包的一部分。利用捕獲到的包可以進(jìn)行協(xié)議分析、數(shù)據(jù)重組(如重組E-mail)等工作。對(duì)包的解碼和分析是Sniffer工具的一個(gè)最有特色的,也是最強(qiáng)大的功能。

當(dāng)不采用廠(chǎng)家的特殊硬件系統(tǒng),Sniffer Portable只能用于100Mbit/s

及以下速率鏈路,網(wǎng)絡(luò)中可以安裝多個(gè)Sniffer Portable,但它們都是相互獨(dú)立的,分別有各自的數(shù)據(jù)庫(kù),收集到的數(shù)據(jù)獨(dú)立存放,這對(duì)于整個(gè)網(wǎng)絡(luò)的分析帶來(lái)一定難度,因此它特別適合小范圍內(nèi)的性能維護(hù)和分析;Sniffer Portable分析能力特別強(qiáng)大,可以解析近370種協(xié)議。當(dāng)要求對(duì)更高速(GE或POS 2.5Gbit/s)的鏈路采集流量,或者是全面收集大型網(wǎng)絡(luò)的流量時(shí),可以采用Sniffer的硬件產(chǎn)品及其分布式系統(tǒng),但其價(jià)格昂貴。

四、基于流(Flow)的流量分析

目前基于流的分析技術(shù)主要有兩種:sFlow和NetFlow。sFlow是由InMon、HP和Foundry Networks聯(lián)合開(kāi)發(fā)的一種網(wǎng)絡(luò)監(jiān)測(cè)技術(shù),它采用數(shù)據(jù)流隨機(jī)采樣技術(shù),可以適應(yīng)超大網(wǎng)絡(luò)流量(如大于2.5Gbps)環(huán)境下的流量分析,讓用戶(hù)詳細(xì)、實(shí)時(shí)地分析網(wǎng)絡(luò)傳輸流的性能、趨勢(shì)和存在的問(wèn)題。目前,僅有HP、Foundry和Extreme Networks等廠(chǎng)商的部分型號(hào)的交換機(jī)支持sFlow。NetFlow[13]是Cisco公司開(kāi)發(fā)的技術(shù),它既是一種交換技術(shù),又是一種流量分析技術(shù),同時(shí)也是業(yè)界主流的計(jì)費(fèi)技術(shù)之一。它可以回答有關(guān)IP流量的如下問(wèn)題:誰(shuí)在什么時(shí)間、在什么地方、使用何種協(xié)議、訪(fǎng)問(wèn)誰(shuí)、具體的流量是多少等問(wèn)題。NetFlow因?yàn)槠浼夹g(shù)和Cisco網(wǎng)絡(luò)產(chǎn)品的市場(chǎng)占有率優(yōu)勢(shì)而成為當(dāng)今主流的流量分析技術(shù)之一。NetFlow的配置非常方便、安裝簡(jiǎn)單,除了需要在路由器上配置之外,只需要一臺(tái)UNIX工作站作為流的收集工作站,所有路由器或交換機(jī)上發(fā)送的NetFlow流都將送到此工作站集中,方便處理和分析。NetFlow流信息量特別豐富,可以為流量分布、業(yè)務(wù)分布等性能分析提供最充足的數(shù)據(jù),但需要消耗一定的路由器資源(CPU和內(nèi)存)且不能實(shí)時(shí)捕捉數(shù)據(jù)包。根據(jù)NetFlow的特點(diǎn)可知,其非常適用于大型的網(wǎng)絡(luò),和流量探針、Sniffer等比較,NetFlow成本最低,實(shí)施最方便,而且不受速率的限制,是數(shù)據(jù)流量采集的發(fā)展方向。

基于Flow的分析方法將成為趨勢(shì),在上面所提到的四種方法中,基于Flow的分析方法應(yīng)該是網(wǎng)絡(luò)流量分析技術(shù)的趨勢(shì)。這是它的技術(shù)實(shí)現(xiàn)理論所決定的。

參考文獻(xiàn):

[1]朱士瑞,基于小波分析的異常檢測(cè)系統(tǒng)[D].江蘇大學(xué)碩士學(xué)位論文,2006.

[2]陳寶鋼、張凌、許勇,基于P2P應(yīng)用的網(wǎng)絡(luò)流量特征分析[J].計(jì)算機(jī)應(yīng)用,2005,Vol.27,No.3.

[3]顧榮杰、晏蒲柳、鄒濤,基于統(tǒng)計(jì)方法的骨干網(wǎng)異常流量建模與預(yù)警方法研究[J].計(jì)算機(jī)科學(xué),2006,Vol.33,No.2.

作者簡(jiǎn)介:

房亞群,女,畢業(yè)于南京師范大學(xué),計(jì)算機(jī)科學(xué)與技術(shù)專(zhuān)業(yè),現(xiàn)就職于江蘇食品職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系,研究方向:計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。