網絡流量監控在網絡管理、入侵監測、協議分析、流量工程等領域有著廣泛應用,網絡流量監控是網絡流量特徵歸納、網絡行為分析的重要基礎,是網絡安全最重要的組成部分。
流量監控重要性
內網各個主機之間的通訊,都是通過數據包來完成的,在數據包中標識了通訊內容、通訊協議、發送源地址以及發送目的地址信息,可以通過分析這些數據,瞭解當前網絡的運行情況,在第一時間排查故障。一些常見的病毒入侵、網絡性能問題、網絡異常行為都可以通過分析數據包來發現故障源頭。
流量監控常用技術
基於主機內嵌軟件監測
基於主機內嵌軟件的流量監測,在主機內安裝流量監測軟件以完成流量監測任務。通過軟件套接字嵌入軟件截獲往返通信內容。該方式能夠截獲全部通信報文,可以進行各種協議層的分析,但不能看到全網範圍的流量情況。
基於流量鏡像協議分析
流量鏡像(在線TAP)協議把網絡設備的某個端口(鏈路)流量鏡像給協議分析儀,通過7層協議解碼對網絡流量進行檢測。協議分析是網絡監測最基本的手段,特別適合網絡故障分析,但是隻針對單條鏈路,不適合全網監測。
基於硬件探針監測
硬件探針是一種用來獲取網絡流量的硬件設備,使用時將它串接在需要捕獲流量的鏈路中,通過分流鏈路上的數字信號獲取流量信息。一個硬件探針監測一個子網的流量信息(通常是一條鏈路)。對於全網的監測需要採用分佈式方案,在每條鏈路部署一個探針,再通過後臺服務器和數據庫,收集所有探針的數據,做全網的流量分析和長期報告。該方式,能夠提供豐富的從物理層到應用層的詳細信息。但受限於探針的接口速率,一般只針對1000M以下的速率,著重單條鏈路的流量分析。
基於SNMP協議的流量監測
基於SNMP協議的流量監測,通過網絡設備MIB收集一些具體設備及流量信息有關的變量。包括:輸入字節數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出包數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等,類似方式還包括RMON。該方式,使用軟件方法實現,不需要對網絡進行改造或增加部件、配置簡單、費用低。但是隻包括字節數、報文數等最基本的內容,不適用於複雜的流量監測。
基於Netflow的流量監測
基於Netflow的流量監測,提供的流量信息擴大到了基於五元組(源IP地址、目的IP地址、源端口、目的端口、協議號)的字節數和報文數統計,可以區分各個邏輯通道上的流。該監測方法,通常需要在網絡設備上附加單獨的功能模塊實現。
基於鏡像端口的流量監測
端口鏡像(Port Mirroring)能夠把交換機一個或多個端口(VLAN)的數據鏡像到一個或多個端口。當沒有設置鏡像端口針對本地網卡進行監控時,所能捕獲的僅僅是本機流量以及網絡中的廣播數據包、組播數據包,而其他主機的通訊數據包是無法獲取的。對於交互式網絡來說,可以在交換機或路由器上設置鏡像端口,指定交換機多個或所有端口鏡像到一個端口,這樣通過連接該端口並監控,就可以捕獲多個端口的總流量數據。該方式能夠很容易獲取全網的流量數據,但對於分析系統的接收性能以及網絡帶寬要求較高。
流量監控的意義
流量監控有利於及時瞭解整個網絡的運行態勢、網絡負載情況、網絡安全狀況、流量發展趨勢、用戶行為模式、業務與站點的接受程度,為網絡的運行和維護提供重要依據,有利於管理人員進行網絡性能分析、異常檢測、鏈路狀態監測、容量規劃等工作。
流量監控為流量分析提供了基礎數據(流量分析主要從帶寬、網絡協議、基於網段的業務、網絡異常流量、應用服務異常等五個方面進行流量分析)。在一個複雜的網絡環境中,必須保證重要應用的帶寬需求,通過基於帶寬的網絡流量分析,能夠及時明確帶寬使用情況,帶寬不足時,可以儘快解決。針對不同網絡協議進行流量監控和分析,如果某一協議在一個時間段內出現超常暴漲,就有可能是攻擊流量或蠕蟲病毒出現。大多數組織,將不同業務系統通過VLAN進行邏輯隔離,流量系統可以針對不同的VLAN進行網絡流量監控,以監控業務系統是否異常。
閱讀更多 網事如煙釋然 的文章
