《Linux平台下基于Ntop的网络流量控制系统网络流量控制系统Cntop的实现》.docVIP

Linux平台下基于Ntop的网络流量控制系统 网络流量控制系统Cntop的实现 摘要 常见的截包工具只能分析网络内的流量和协议。基于此，本文作者改进了Ntop，设计了基于网桥的网络流量控制环境，在此基础上实现了网络流量控制系统Cntop。文章重点介绍了该系统各个模块的设计和实现。 关键词 流量控制 网桥 Ntop iptable tc Abstract Implementation of Network Traffic Measurement System Cntop Abstract： Packet Capture Tool can not give user a clear view of network flows data and protocols distribution，in order to solve this problem，the author has improved Ntop by adding a control module，so he call this system Cntop(Ntop with Control sub-system)．How to design and implement all the parts of the sub-system is the emphasis of this article． Keywords ：Traffic Control，bridge，Ntop，iptable，tc  1 引言 常用的流量分析／协议分析工具，工作原理大多基于截包。截包工具由于具有不占用网络带宽并且可以详细分析所截获的报文等特点，常常用来定位网络故障、判定网络入侵以及监控网络状态等。 这类工具多数基于PCAP库开发而成，知名的有Tcpdump、Ethereal、SniferPro和Ntop等。其中，Ethereal、Tcpdump等工具由于只关注协议分析，注重对报文内容的监控，并没有对所有报文进行宏观统计，所以无法让用户直观的查看整体网络的运行状况；而MENett、SniferPro和Ntop等虽然克服了上述缺陷，但是这类软件往往是对所关注网络的流量数据，并不能够根据用户自定义的参数对网络流量进行控制。 为了解决这个问题，设计的系统必须对截包工具所采集到的实时数据进行有效的存储，同时扩展截包工具的实时数据展现部分。让系统能够展现任意时间段内的流量分布。Ntop是一个开源项目，开发时间长达5年以上，性能稳定，所以新系统基于Ntop开发而成。Ntop来源于意大利比萨大学高材生LucaDeri所做的校园网流量协议分析系统。 新系统在Ntop的基础上补充了网络流量控制子系统。用户通过流量控制界面自定义需要控制的主机、应用软件及流量。由于该系统主要在Ntop的基础上补充了流量控制子系统，所以被称为Cntop，即Ntop with Control sub-system。 2 系统框架 2．1 系统实 假设运行Cntop系统的服务器ip设置为，内部网络中主机1的ip设置为 5，主机1运行P2P下载软件BitComet从网络上下载文件，速度达到200KB/s，用户在主机2上通过浏览器以管理员的身份进入Cntop系统，查看内部网络各主机当前的网络流量，在控制界面对主机1的BitComet下载进行限速，必然限制到50KB/s。 以上描述对应Cntop系统包括了如下模块：Cntop用户操作的web模块、对内部网络主机BitComet下载的检测模块、对某一主机BitComet下载的限速模块。其中限速又包括如下子模块：在eth0数据包入口处对BitComet类型数据包用iptable作标记、在eth1处用tc命令建立50KB/s的速率通道、在eth1出口处用tc命令设置作标记的数据包从50KB/s的速率通道流出。 2．1 Cntop运行环境的网络拓扑结构 如图1所示，其中双网卡linux服务器，运行Cntop系统，以外部网络的一台主机作为网关，网卡1（记为eth0）接通外部网络，网卡2（记为eth1）接入内部集线器。主机1-3属于内部局域网，设置与双网卡服务器同样的网关。 图1 网络拓扑图 2．2 Cntop系统的整体架构 Cntop的整体架构如图2所示，其中忽略Ntop的原有模块，整个大方框描述了Cntop系统的核心—控制模块。包括对流入系统的数据包进行打标的模块1，根据数据包标记选择流出通道的模块2，以及提供用户操作界面的webserver模块。 图2 Cntop系统的整体架构图 2．3 linux补充模块及其在Cntop系统中的作用 Bridge模块：该模块是一个工具包，用于在linux服务器上架设透明网桥。如图1所示，将bridge模块装在双网卡服务器上，外网