基于网络流量监控应用研究.docVIP

基于网络流量监控应用研究 　　摘要：通过对网络流量的各种检测与监控技术的认识，以及对这些技术应用的研究分析，提出了适合各自网络与应用环境下的监控手段，做到实时监测网络当前状态，分析历史及未来趋势，并根据网络需求加以适时控制，全面保护数据和系统，优化网络，提升性能，满足网络信息系统业务安全高效运行的要求。 　　关键词：网络流量 监控 性能 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2014）10-0014-01 　　随着网络技术的高速发展及日益复杂，如何管理好网络，保证各行各业在网络上的业务应用正常运行，已显得以尤为重要。网络流量检测对于网络管理员来说算是必要的技术之一，通过网络流量检测可以使得网络安全管理员监测网络实时状态，及时发现存在的异常与威胁，控制网络行为，消除网络隐患，提升网络性能管理能力。本篇文章就主要研究分析常见的，可共享的几种网络流量监控方法及典型应用。 　　1 网络监控技术及其应用 　　网络流量检测与监控方法根据应用环境等不同，以及采用的协议不同，在不增加硬件投资基础上，利用互联网开放市场上的共享技术可分为如下几个方法。 　　1.1 基于Sniffering技术 　　Sniffing技术是将监控主机的网卡设定在混杂模式（promis cuous），以接收所有此主机所能收到的网络数据封包。同时现行网络环境大多为交换式网络（Switching Base），因此需要在交换机上设定端口镜像（Port Mirror），使监控主机可撷取到广播以外的网络数据封包。Sniffing技术基本上是可以撷取完整的数据封包，因此所得到的信息最为完整，甚至可以还原和重现原始的网络通信内容，但对网络及监控服务器却造成很大的负担，同时难以全面性的对整个网络做监控。 　　Sniffer技术就是通过在网络中主机上安装如Sniffer Pro，WireShark等协议分析软件，把网络设备的某个端口（链路）流量镜像给主机上的协议分析仪，通过7层协议解码对网络流量进行监测。协议分析是网络测试的最基本手段，特别适合网络故障分析。缺点是流量镜像协议分析方式只针对单条链路，不适合全网监测。 　　典型的应用主要是分析网络流量，做好网络故障定位，如ARP攻击、广播风暴等。 　　1.2 基于SNMP/RMON技术 　　基于SNMP的流量信息采集，实质上是测试仪表通过提取网络设备Agent提供的MIB（管理对象信息库）中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括：输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。相似的方式还包括RMON。与其他的方式相比，基于SNMP的流量监测技术受到设备厂家的广泛支持，使用方便，缺点是信息不够丰富和准确，分析集中在网络的2、3层的信息和设备的消息。 　　MRTG（Multi Router Traffic Grapher，多路由器流量图显示器）是一款免费的、应用非常广泛的基于SNMP的网络管理系统软件，MRTG能够对网络流量进行直观、有效的监测和管理。MRTG通常被网络管理人员用来收集网络节点端口流量统计信息，是典型的监视网络链路流量负荷的工具。MR TG将真实流量数据统计信息通过HTML页面实时输出，使得维护人员可以迅地发现网络的故障和可能发生故障的节点。MRTG的定制非常方便，一般可以在网络的重要节点端口和故障发生频繁的网络设备处利用MRTG进行监视，包括关键链路流量，关键节点性能状况（CPU利用率、空余内存等可以反应网络节点状况的信息）的监测。 　　MRTG 的缺点是功能较单一，分析功能不强，其收集到的流量信息端口的统计信息，不能用于复杂的分析。 　　1.3 基于NetFlow的技术 　　NetFlow流量信息采集是基于网络设备（Cisco）提供的NetFlow机制实现的网络流量信息采集。NetFlow为Cisco之专属协议，已经标准化，并且Juniper、extreme、华为等厂家也逐渐支持，NetFlow由路由器、交换机自身对网络流量进行统计，并且把结果发送到第3方流量报告生成器和后台数据库。一旦收集到路由器、交换机上的详细流量数据后，便可为网络流量统计、网络使用量计价、网络规划、病毒流量分析，网络监测等应用提供决策根据。同时，NetFlow也提供针对QoS（Quality of Service）的测量基准，能够捕捉到每笔数据流的流量分类或优先级特性，而能够进一步根据QoS进行分级收费。与其他的方式相比，基于NetFlow的流量监测技术属于中央部署级方案，部署简单、升级方便，重点是全网流量的采集，而不是