s01-流量分析技术.ppt

编辑课件 故障现象： 从法国一个远端的现场，用户投诉网络服务很慢。 案例分析： 总部 法国 英国 意大利 OC3/OC12 E1/E3 E1/E3 ATM Network OV WAN OC3-12 E1/E3 VC:0/101 远端用户 案例的 ATM 网络 物理层及设置都没有错误 没有物理层故障 没有错误 看看谁在占用利用率 流量与法国有关 我们看到很多的流量是和法国连接 看看法国的利用率谁在占用 发现可疑的IP地址 大部分的流量都从一个中央服务器到一个可疑IP地址。 让我们看看他们在做什么？ 注意现在观察的流量是在某一个VC ICMP协议 再深入分析后，发现都是ICMP协议——有问题！ 再看看是否那可疑的IP地址发出ICMP包…打开在法国的VC上，用ICMP的最高对话源。 确认IP后捕捉数据 果然是他!!! 再多采集一些证据…可以捕捉一些这种行为的数据包。 设置过滤器进行捕捉 过滤器经已自动做好!它是根据上一个屏幕显示的状态而定的！ 点出这里开时捕包 连续的自动PING冲击 从协议分析看来-情形是11用连续的自动PING冲击服务器 总结 黑客攻击肯定会对网络流量有影响 本例是用连续的自动PING冲击服务器，作DOS 攻击 黑客已进入了法国的网络，从法国启动攻击，把广域 网链路填满 对网络中流量的长期监测是预防故障的有效手段 福禄克网络的WGA/DSVS和OPV-WAN分布式网络分析特点 目前大部分网络用户没有对流量的长期监测手段 解决方式 暂时性的补救方法是在法国的路由器上隔离ICMP Ping包或屏蔽可疑的IP地址的数据包。 通知法国的IT经理关于黑客的事，查找黑客的痕迹。 　随着宽带互联网在中国的迅速发展，全国各大电信运营商的网络规模都在不断扩张，网络结构日渐复杂，网络业务日趋丰富，网络流量高速增长。　　目前国内电信运营商已建的网络管理系统所能实现的流量监测功能非常有限，远远不能满足运营商的迫切需要。  电信运营商需要通过可靠、有效的网络业务流量监测系统对其网络以及网络所承载的各类业务进行及时、准确的流量和流向分析，进而挖掘网络资源潜力，控制网络互联成本，并为网络规划、优化调整和业务发展提供基础依据。  　　1.2　互联网业务流量监测技术现状分析 　　目前国内电信运营商的运维部门大都还没有建设一套能够完全满足管理需求的互联网业务流量监测系统。现有的网络管理系统虽然可以提供业务流量监测手段，但基本上只是采用一些通用型的网络链路使用率监视软件，如利用免费的MRTG和简单网络管理协议（SNMP），对网络的重点链路和互联点进行简单的端口级流量监视和统计；或采用在网络中部分重点业务接入点（POP）加装远程监控（RMON）探针的方式，利用RMON I/Ⅱ协议对网络中部分端口进行网络流量和上层业务流量的监视和采集。 　　上述两种被普遍采用的网络流量监测系统都有着明显的技术局限性。  　　为克服现有网管系统对网络流量和流向分析功能的技术局限性，运营商迫切需要寻找一种功能丰富、成熟稳定的新技术，对现有管理系统中流量信息的采集和分析方式进行改造和升级。新的流量信息采集和分析技术应具备对运营商的运行网络影响小、无需对网络拓扑进行改变就能平滑升级的技术特征，既可以对网络中各个链路的带宽使用率进行统计，又可以对每条链路上不同类型业务的流量和流向进行分析和统计。本文主要讨论功能强大、应用广泛的NetFlow技术。 　　1.1　互联网业务流量监测技术的应用 　　流量监测技术的应用主要包括以下几个方面： 　　a）为网络出口互联链路的设置提供决策支持 　　通过对网络出口流量和流向的分析，可以详细了解网络内部用户对其他外部网络的访问情况，从而有效地选择与其他网络的互联方式和互联地点，节约互联链路费用。 　　b）掌握用户对其他运营商的访问情况 　　通过对与其他网络互联流量的监控，分析网络内部用户访问其他外部网络的业务特点和主要流量的去向，准确掌握内部用户对外网的兴趣点，找到最多应用的热点信息内容。根据分析结果进行相应网络内容的建设，将用户感兴趣的热点信息内容放到内部网络，减轻互联链路的压力。 　　c）评估分支网络的成本和价值 　　通过对各个分支网络出入流量的监控，分析流量的大小、去向及内容组成，了解各分支网络占用带宽的情况，从而反映其占用的网络成本，也可以了解其业务开展情况，并作出价值评估。 　　d）提供重要应用和大客户统计分析 　　通过对重要应用和大客户的流量进行统计分析，掌握重要应用和大客户的流量状况，进行网络带宽的成本分析，有助于在网络服务质量和网络成本之间取得最佳平衡。 　　e）基于IP的计费应用和服务等级协议（SLA）的校验服务 　　通过对大客户接入电路上的流量进行监