基于Netfilter的网络流量统计系统在嵌入式设备上的实现.pdfVIP

基于 Netfilter 的网络流量统计系统在嵌入式设备上 的实现 摘 要：本文介绍了一种通过在 Iptables 的 Filter 表中新建基于不同的源 IP 地址或目的 IP 地 址的过滤规则来将网络流量分类，并利用 Iptables 自带的计数器来做流量统计的方法。实验 结果证明该方法简洁、有效并且系统资源占用率低，在嵌入式设备上运行流畅。 关键词：Iptables 链 规则 中图分类号：TP393 1. 引言 随着计算机网络技术的不断发展和网络应用的日益普及，内网安全与 QoS 已经成为一 个不可避免的问题。维护内网与内网、内网与外网之间的安全有效运行就成为网络管理人员 一项重要而繁琐的任务。监控内网与外网之间的流量是一种保证内网 QoS 比较直接的方法 [1]，通过分析被监控主机的流量统计图可以对单位时间内流量过大的主机进行流量限制，从 而保证内网的其他主机所能获得的带宽资源。 2. 整体架构 一般来说，流量统计的数据收集工作是在网关上完成的。首先，网关在连续的单位时间 内统计内网中被监控主机与外网之间的网络流量（由于网关的数据存储能力有限，这里的单 位时间设定为 1 分钟）；然后，网关将上一个单位时间内的统计数据发往数据库服务器之后 就将流量统计数据清零并重新开始统计新的单位时间内的流量数据；最后，在数据库服务器 上对这些连续的单位时间内的统计数据进行分类、累加和绘图处理以供网络管理人员参考和 决策。本方法最重要的是第一步——网关统计单位时间内的流量数据。本系统的工作流程图 和网络拓扑图分别如图 1 和图 2 所示。 图1 工作流程图 Fig1 the flowchart of this method - 1 - 图2 网络拓扑图 Fig2 the topology of this method 3. 网关 由于嵌入式设备具有低功耗、体积小、集成度高等特点，所以本实验方案中的网关采用 的是嵌入式设备。网关上所使用的操作系统是嵌入式 Linux ，因为 Linux 在其内核的网络部 分，已经嵌入了完整的 TCP/IP 网络功能。经过必要的扩充之后，在其普通路由器功能的基 础上，可增加基于数据包过滤的防火墙功能和统计功能，成为功能强大的防火墙网关[2] 。其 中Netfilter/Iptables 就是 Linux 集成的 IP 信息包过滤系统。 4. Netfilter/Iptables 网络流量由 IP 信息包（简称包）以流的形式从源系统传输到目的系统。每个包都有包 头，它一般包含有包的源 IP 地址、目的 IP 地址和协议类型的信息。防火墙根据一组组规则 检查这些包头，以确定接受哪个包或者拒绝哪个包。我们将该过程称为包过滤。 Netfilter/Iptables IP信息包过滤系统是一种功能强大的工具，可用于添加、编辑和 删除规则，这些规则是在做封包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在 专用的封包过滤表中，而这些表集成在 Linux 内核中。我们通过 Netfilter 在用户空间的 命令行程序 Iptables，可以轻松的添加、编辑和删除各种过滤规则。 Iptables 主要由表、链和规则组成。根据对数据包处理功能不同，Iptables 由三个表 组成，分别是 Filter 表、Nat 表和Mangle 表，Filter 表用来做包过滤，Nat 表用来改变包 头中的源 IP 地址或目的 IP 地址，Mangle 用来改变包的某些特性（如 TTL 值）或者给包打 上标记。在表中，根据数据包的流向不同，表又由链组成，每个表中都有内核自建的链，而 用户也可以根据需要在表中创建用户自定义的链。在链中，就是过滤规则了，用户既可以在 - 2 - 中国科技论文在线 内核自建链