◆陳斯智

（福建省泉州市氣象局 福建 362000）

1 引言

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展和成熟，隨著網(wǎng)絡(luò)應(yīng)用的不斷擴(kuò)展，網(wǎng)絡(luò)上的業(yè)務(wù)類型越來越多，例如視頻、圖像等，網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)類型增加，網(wǎng)絡(luò)擁塞的頻率比以前大大提高。由于海量數(shù)據(jù)流的傳輸，對(duì)網(wǎng)絡(luò)帶寬和通信質(zhì)量的要求更高。當(dāng)網(wǎng)絡(luò)受特洛伊木馬、蠕蟲等病毒的影響時(shí)，問題就會(huì)變得越來越嚴(yán)重。當(dāng)網(wǎng)絡(luò)中出現(xiàn)不安全因素時(shí)，網(wǎng)絡(luò)流量就會(huì)產(chǎn)生相應(yīng)的變化，并且會(huì)出現(xiàn)流量異常的現(xiàn)象，因此如何準(zhǔn)確檢測網(wǎng)絡(luò)異常流量，并采取相應(yīng)的對(duì)策以確保網(wǎng)絡(luò)正常運(yùn)行就顯得非常重要了[1-3]。網(wǎng)絡(luò)流量的大小是網(wǎng)絡(luò)運(yùn)行過程中檢測網(wǎng)絡(luò)流量異常的重要指標(biāo)，當(dāng)然網(wǎng)絡(luò)流量異常檢測問題的研究一直沒有停止過，當(dāng)前有著大量的網(wǎng)絡(luò)流量異常檢測模型和方法。網(wǎng)絡(luò)流量異常檢測可以認(rèn)為是一種網(wǎng)絡(luò)流量分類問題，即將網(wǎng)絡(luò)狀態(tài)劃分為正常和異常兩種情況，當(dāng)處于異常狀態(tài)時(shí)，就對(duì)其進(jìn)行相應(yīng)的處理；如果是正常狀態(tài)，那么就不用制定相應(yīng)防范措施[4]。氣象雷達(dá)站全天候運(yùn)行，大量的數(shù)據(jù)往省局的服務(wù)器上傳，流量出現(xiàn)異常將會(huì)影響數(shù)據(jù)上傳的及時(shí)率，嚴(yán)重的話會(huì)導(dǎo)致數(shù)據(jù)的缺測，影響考核指標(biāo)。所以如何準(zhǔn)確快速地找出流量異常的方法就至關(guān)重要了。

2 網(wǎng)絡(luò)流量的概況

網(wǎng)絡(luò)在運(yùn)行的過程中，會(huì)產(chǎn)生數(shù)據(jù)流，網(wǎng)絡(luò)流量就是網(wǎng)絡(luò)的數(shù)據(jù)量。在運(yùn)行網(wǎng)絡(luò)流量的過程中，網(wǎng)絡(luò)運(yùn)行故障或網(wǎng)絡(luò)操作有異常的情況下，會(huì)導(dǎo)致網(wǎng)絡(luò)流量異常。在網(wǎng)絡(luò)流量運(yùn)行過程中，由于網(wǎng)絡(luò)設(shè)備的變化，尤其是網(wǎng)關(guān)等設(shè)備的變化，將影響網(wǎng)絡(luò)流量的變化。如果原始網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，則需要更換網(wǎng)絡(luò)設(shè)備，添加新的網(wǎng)絡(luò)設(shè)備會(huì)在一定程度上影響網(wǎng)絡(luò)流量的大小。在網(wǎng)絡(luò)運(yùn)行的初始階段，網(wǎng)絡(luò)運(yùn)行不正常等導(dǎo)致的網(wǎng)絡(luò)流量異常尤其明顯，流量變化也相對(duì)劇烈，但是在非網(wǎng)絡(luò)流量異常的情況下，網(wǎng)絡(luò)流量已恢復(fù)穩(wěn)定，即使有發(fā)生變化，其變化也是很小，相對(duì)穩(wěn)定，不容易直觀地發(fā)現(xiàn)[5]。

當(dāng)某個(gè)網(wǎng)絡(luò)信息或內(nèi)容具有更高的熱點(diǎn)時(shí)，則網(wǎng)站流量會(huì)突然增加。對(duì)于許多網(wǎng)站，他們的網(wǎng)絡(luò)容量受到限制，網(wǎng)絡(luò)帶寬和處理能力也受到限制。當(dāng)服務(wù)器繁忙或網(wǎng)絡(luò)阻塞時(shí)，網(wǎng)站的性能將會(huì)下降。網(wǎng)絡(luò)突發(fā)流量的特征是指它們會(huì)在網(wǎng)絡(luò)中存在一定的時(shí)限，在限制范圍內(nèi)，新的網(wǎng)絡(luò)用戶繼續(xù)進(jìn)入網(wǎng)絡(luò)系統(tǒng)，從而導(dǎo)致網(wǎng)絡(luò)流量有著明顯的變化[5]。

泉州氣象雷達(dá)站采用電信移動(dòng)雙鏈路冗余的方式接入，如圖 1所示。電信帶寬為 4Mbps，理論上傳下載速度為500KB/s，移動(dòng)帶寬為8Mbps，理論上傳下載數(shù)據(jù)為1000KB/s。通過路由器的 VRRP 協(xié)議，移動(dòng)路由器設(shè)置成高優(yōu)先級(jí)，為主用路由器，電信路由器設(shè)置成低優(yōu)先級(jí)，為備用路由器。默認(rèn)情況下，業(yè)務(wù)數(shù)據(jù)首選移動(dòng)線路傳輸，而在移動(dòng)線路出現(xiàn)故障時(shí)，會(huì)自動(dòng)切換到電信線路。

圖 1 雷達(dá)站網(wǎng)絡(luò)拓?fù)?/p>

3 網(wǎng)絡(luò)流量異常的發(fā)現(xiàn)及處理過程

泉州雷達(dá)站與市氣象局為站局分離模式，在雷達(dá)站使用內(nèi)網(wǎng)訪問市局業(yè)務(wù)平臺(tái)時(shí)，發(fā)現(xiàn)操作異?？D。進(jìn)行 ping 包測試，延時(shí)嚴(yán)重，都在 100ms 以上，并且會(huì)斷續(xù)出現(xiàn)丟包現(xiàn)象。利用 Tracert 命令，進(jìn)行路由節(jié)點(diǎn)追蹤，發(fā)現(xiàn)數(shù)據(jù)默認(rèn)走了電信線路。雷達(dá)實(shí)時(shí)數(shù)據(jù)傳輸流量約為350KB/s，此大小傳輸速率，無論是電信線路，還是移動(dòng)線路帶寬都是滿足的。首先懷疑是電信線路開通的帶寬不足而造成堵塞。經(jīng)電信運(yùn)營商方面確認(rèn)后，線路帶寬正常為4Mbps，但是發(fā)現(xiàn)通過電信線路出口數(shù)據(jù)流量峰值高達(dá)5Mbps，帶寬不足導(dǎo)致數(shù)據(jù)堵塞延時(shí)。為不影響雷達(dá)數(shù)據(jù)傳輸?shù)臅r(shí)效性，須先排查默認(rèn)線路變化的原因。分別登入移動(dòng)、電信路由器查看配置，發(fā)現(xiàn)電信路由的 VRRP 優(yōu)先級(jí)比移動(dòng)路由的優(yōu)先級(jí)高，導(dǎo)致數(shù)據(jù)默認(rèn)走電信線路。解決方法為：

在電信路由器上 G0/0 刪除默認(rèn)為 100 的優(yōu)先級(jí)，命令如下：

在移動(dòng)路由器上設(shè)置 G0/0 優(yōu)先級(jí)的優(yōu)先級(jí)為 120，命令如下：

配置完成后，分別重新查看 VRRP 配置，移動(dòng)線路狀態(tài)顯示為“Master”，圖 2所示，電信線路狀態(tài)顯示為“Backup”圖 3所示。

圖 2 移動(dòng)路由器 VRRP 正確配置信息

圖 3 電信路由器 VRRP 正確配置信息

通過 tracert 命令，追蹤省局目的 IP 地址，此時(shí)數(shù)據(jù)已經(jīng)正常優(yōu)先通過移動(dòng)線路傳輸。再訪問市局其他業(yè)務(wù)平臺(tái)，網(wǎng)速也有明顯提升。分析造成路由器主備線路對(duì)調(diào)的原因，可能是當(dāng)初配置路由時(shí)未及時(shí)保存信息，重啟路由操作后，導(dǎo)致配置信息丟失。故在路由器配置操作完成后，需及時(shí)保存配置，并導(dǎo)出路由器配置，以便后續(xù)設(shè)備出現(xiàn)故障能夠及時(shí)導(dǎo)入還原。默認(rèn)線路調(diào)整后，出口數(shù)據(jù)流量還是很大。因此必須找出異常流量的設(shè)備，排查是否由于電腦中毒導(dǎo)致對(duì)外攻擊或者是遭到攻擊。如果關(guān)閉所有電腦，逐一排查是否有異常流量的方法顯然不太現(xiàn)實(shí)，因?yàn)橛卸嗯_(tái)業(yè)務(wù)機(jī)在實(shí)時(shí)傳輸數(shù)據(jù)。但是，如果通過對(duì)交換機(jī)數(shù)據(jù)流量進(jìn)行抓包分析，就可以無須關(guān)閉設(shè)備，且明確判斷出流量異常的設(shè)備。數(shù)據(jù)抓包的方法步驟如下：

首先設(shè)置交換機(jī)的映像端口，一個(gè)端口鏡像（SPAN）會(huì)話只能有一個(gè)目的端口（監(jiān)控端口），但是可以有多個(gè)源端口（被監(jiān)控端口）。我們?cè)O(shè)置移動(dòng)和電信路由接入交換機(jī)的 G0/1 和 G0/2 口為被監(jiān)視的端口，命令為

端口鏡像使用結(jié)束后，可以使用以下命令刪除。

ZMS-QZ（config）#no monitor session 1

如果對(duì)銳捷交換機(jī)命令不熟悉的，也可以通過交換機(jī)的 WEB 管理平臺(tái)進(jìn)行配置。用管理員賬號(hào)密碼登錄 WEB 頁面，左側(cè)列表選擇“系統(tǒng)管理”下的“端口鏡像”，端口鏡像設(shè)置中，選擇 G0/18 為監(jiān)控端口，勾選 G0/1 和 G0/2 為被監(jiān)控端口，保存。

頁面配置完成，我們可以輸入 show monitor 來驗(yàn)證命令，得出如下信息為配置成功。

交換機(jī)鏡像配置完成后，在筆記本上安裝 wireshark 抓包軟件，裝好后筆記本網(wǎng)口直連到交換機(jī) G0/18。wireshark 是捕獲機(jī)器上的某一塊網(wǎng)卡的網(wǎng)絡(luò)包，當(dāng)你的筆記本上有多塊網(wǎng)卡的時(shí)候，你需要選擇直連到交換機(jī)的那塊網(wǎng)卡。

點(diǎn)擊“Start”，就可開始抓包。通過分析抓包軟件抓取的數(shù)據(jù)包信息，雷達(dá)站有一臺(tái)電腦與市局一臺(tái)服務(wù)器有大量 TCP 鏈接，而且請(qǐng)求的數(shù)據(jù)包都比較大。確定好是哪臺(tái)電腦流量異常，就可以針對(duì)那臺(tái)電腦做出檢查。經(jīng)查，雷達(dá)站電腦上開啟了天氣實(shí)景監(jiān)控系統(tǒng)的控制客戶端，對(duì)全市8 個(gè)站的實(shí)景做出實(shí)時(shí)監(jiān)控。因?qū)崟r(shí)監(jiān)控需占用大量的流量帶寬。關(guān)閉該控制客戶端后，發(fā)現(xiàn)流量明顯回歸正常，故障排除。

4 結(jié)論

對(duì)于復(fù)雜或故障特征并不明確的網(wǎng)絡(luò)故障，可以采用抓包軟件在關(guān)鍵故障點(diǎn)進(jìn)行抓包的方法，通過獲取的網(wǎng)絡(luò)數(shù)據(jù)包，結(jié)合 TCP/IP 協(xié)議簇的工作原理，分析數(shù)據(jù)包的收發(fā)、重傳、丟包等情況，則可以迅速的縮小故障源的范圍，甚至獲得故障原因的直接信息。利用抓包軟件實(shí)現(xiàn)網(wǎng)絡(luò)安全，防止網(wǎng)上病毒傳播并排查網(wǎng)絡(luò)故障有重大意義。