网络流量分析和应用.docVIP

网络流量分析和应用 　　摘要: 利用Sniffer分析当前校园网中网络流量的类型,对不同流量测量的方法进行介绍和对比,提出网络流量测量的必要性,对进行流量测量时使用的Sniffer及相关实现技术和标准进行探讨。 　　关键词: Sniffer;流量测量;流量分析 　　中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0520115-01 　　 　　目前校园网络出现了多种不同的解决方案,可以采用多种不同思路和方法进行实现为网络的运行提供了参考依据。Sniffer是一个非常好的流量分析工具,利用它我们可以实际了解到当前网络中正在发生的具体流量,并且通过Sniffer的专家系统以及进一步对数据包的解码分析,我们可以很快的定位网络故障,确认网络带宽的瓶颈,在故障发生前及时消除网络隐患,这样能给我们日常的维护工作带来很大的方便,也使得我们的维护工作处于主动地位,不会再只有接到用户故障投诉后才能处理故障,在时间和效率上都不能很好的让用户满意。下面是借助Sniffer对某公司出口流量做的一个简单的流量分析。分析目标:了解目前带宽实际利用率,检查有无网络隐患。 　　分析方法: 　　在核心交换机上做端口镜像,利用sniffer抓包。首先我们了解一下网络中协议的分布情况,通过sniffer的Protocol Distribution功能可以直观的看到当前网络流量中HTTP应用流量最大占65%,其次就是NetBios流量占34%。了解协议分布情况以后,我们再找到网络中流量最大的主机,因为流量越大也就意味着对网络的影响也就越大,利用sniffer的Host Table的饼视图功能可以容易的找到流量最大的机器,可以看到6,7这两台主机在目前我们网络内部流量较大,分别占18.48%和16.65%。进一步利用HostTable功能的Outline视图,可以发现这两个地址流量的91%都是HTTP流量,6这个主机上行流量要明显小于下行的流量,而7这个主机则是上行流量明显大于下行流量,通过确认6为一台Web服务器,7则是其他公司托管在我公司的一台服务器,所以到这一步我们就可以大致知道这两个主机当前正在进行的网络活动。同时我们要注意的就是每个地址的收发包数量是否正常,即是否收发之间存在较大差异,如果只收不发或者只发不收,那很可能就意味着这个主机的当前流量有异常,我们可以进一步通过sniffer提供的Decode功能对捕获的数据包进行解码,来分析具体的数据包内容。 　　通过定义一个过滤器来查看上面两个地址的具体数据流量。我们可以看到在这些HTTP应用里面,TCP的三次握手都很完整,排除了恶意的SYN攻击行为,都是正常的HTTP流量。也许从这次的例子看不出有什么异常,实际上在大部分的情况下一旦网络出现异常,可以在第一时间直观的通过HostTable功能找到问题的根源。查看sniffer的专家系统,发现存在大量的Local Routing(本地路由)告警,并提示可能原因为路由表设置不当。通过查看告警来源,发现流量均为来自私网地址的139端口连接,通过sniffer的Protocol Distribution的Packet排序可以看出Netbios协议流量占所有流量的82%,即当前网络中82%的数据包都是Netbios协议数据包。很明显出现这种现象是不正常的,我们可以在所捕获的数据包里定义过滤器,选择只查看Netbios协议,进一步了解具体的数据包内容,发现存在大量网内的私网地址发起的139端口连接请求,而且全都是TCP的SYN请求,TCP的三次握手只有一次,很可能受到了SYN攻击。数据包大小都是62字节,而且每个数据包之间发送间隔都在1ms内,排除人为发起TCP请求的可能。通过观察数据包的源,目的IP地址,发现源地址很分散,目的地址均为实际并不存在的IP地址,但根据我公司IP地址规划都属于某地市分公司私网地址段。根据流量的特征,初步判断为私网用户感染蠕虫病毒,病毒通过139端口与大量虚假IP地址建立连接,造成网络中存在大量短数据包,严重降低网络运行效率。同时我们还发现当前网络对每一个TCP连接请求进行不断的重传,直到TTL值过期之后才被丢弃。通过跟踪查看某个地址的重传数据包,发现一个奇怪的现象:Sniffer捕获的6对7发起TCP连接请求的两个数据包,可以看到在数据包的网络层里面有两个选项:Identification,Time to live。Identification是用来唯一标识主机发出的每个数据包的,正常情况下每个数据包的ID都不一样,而TTL是用来限制数据包在网络中经过的跳数的,每经过一跳TTL值就减1,直到TTL值为0的时候数据包就被丢弃,主要是防止当网络中出现环路时数据包的循环传送。这两个数据包的Identifica