计算机光盘软件与应用 2010年第5期 Computer CD Software and Applications 工程技术 网络服务器流量分析 朱叶 (中国民航信息网络股份有限公司,北京100029) 摘要:本文分析了"3前网络服务器流量分析的现状,论述了对服务器流量监控和分析的意义及其主要内容。论文详 -细阐述了基于Nemowv9、IPFIX以及PSAMP等标准和协议的网络流量监控的解决方案建议,并提出软件框架设计模式。 关冀词:网络服务器;流量分析;流量监控 中田分类号:TP393 文献标识码:A 文章蝙号:1007—9599(2010)05—0078—02 . Network Server Trafifc Analysis ZhuYe (Travelsky Technology Limited,Beijing 1 00029。China) Abstract:This article analyzes the current status of hte network server traffic analysis.discusses the significance of monitoring and analysis on the server traffic and summarizesmain content.Then,hte article provides solutions on hte server traffic based on the agreement of Net lfow v9,IPHX and PSAM.At last,proposes software framework design pattern. Keyword:Network server;Server rtafifc analysis;Server rtafifc control 一、前言 能是攻击流量或蠕虫病毒出现。Cisco NetFlow V5可以根据不同 今天的数据网络给我们的生活、工作和人与人之间的沟通带 的协议对网络流量进行划分,对不同协议流量进行分别汇总。 来了极大的方便,网络业务日趋丰富,网络流量高速增长。同时, (三)基于网段的业务流量分析 网络运营商之间的竞争也逐渐激烈,以高投资为特征,追求简单 流量分析系统可以针对不同的VLAN来进行网络流量监控,大 规模扩张的粗放型竞争模式已经不适应当前的形式。挖掘现有网 多数组织,都是不同的业务系统通过VLAN来进行逻辑隔离的,所 络资源潜力,控制网络互联成本,提供有吸引力的增值业务,提 以可以通过流量分析系统针对不同的VLAN来对不同的业务系统 高网络运维水平成为在激烈竞争中的制胜策而要实现这些,都离 的业务流量进行监控。Cisco NetFlow V5可以针对不同的VLAN 不开可靠、有效的网络流量监控的有力支撑。 进行流量监控。 二、网络流量监控和分析的意义 (四)网络异常流量分析 用户现有的网络管理系统在长期的网络流量分析方面存在不 异常流量分析系统,支持异常流量发现和报警,能够通过对 足。主要表现在如下方面: 一个时间窗内历史数据的自动学习,获取包括总体网络流量水平、 (一)长期的网络和应用问题分析能力不足 流量波动、流量跳变等在内的多种网络流量测度,并自动建立当 现有的网络管理系统无法长期的纪录网络和应用的运行状 前流量的置信度区间作为流量异常监测的基础。能把焦点放在组 态,无法长期的保存网络流量信息,在出现网络或应用问题时, 织的核心业务上。通过积极主动鉴定和防止针对网络的安全威胁, 不能为网络技术人员提供有效的信息依据,问题往往是依靠网络 保证了服务水平协议(SLA)并且改进顾客服务,从而为组织节约 技术人员通过推断来分析,这样网络问题的分析效率很低,同时 成本。异常流量分析工具主要有Arbor公司的PeakFlow DoS安全 很难得到确实的分析结论。 管理平台、PeakFlow Traffic流量管理平台等。 (--)缺乏对网络和应用间歇性问题的分析能力 (五)应用服务异常流量分析 网络或应用可能出现间歇性故障,这种故障的出现一般很难 当应用层出现异常流量时,通过IDS&IPS的协议分析、协议 判断,在出现后很难分析其产生原因,而再次出现的时间无法确 识别技术可以对应用层进行深层的流量分析,并通过IPS的安全 定,因此难以解决,好像网络中存在一个不定时的炸弹,使用户 防护技术进行反击。 网络和应用时刻处于危险之中。 四、网络流量控制解决方案建议 (三)对网络安全问题的分析能力不足 对于目前运营商对网络流量控制的需要,论文推荐的流量控 在发生网络安全问题时,缺乏有效的监控分析手段,导致网 制解决方案构架是:全网集中监视+重点控制。全网集中监视反 络的安全性降低,例如蠕虫病毒的爆发,应该能够对蠕虫病毒的 映的是对整个网络的性能监视和分析。重点控制是在网络中的关 传播情况进行有效的分析。 键位置部署监控探针,在网络中心设置管理系统,以实现运营商 三、网络流量分析内容 在远程对重点地区进行更加细致的监视和控制作用。 流量分析系统主要从带宽的网络流量分析、网络协议流量分 (一)监控探针的放置点建议 析、基于网段的业务流量分析、网络异常流量分析、应用服务异 国际出口、网络互联端口、骨干网的重要中继、重要城市的 常流量分析等五个方面对网络系统进行综合流量分析。 城域网出口等位置。 (一)带宽的网络流量分析 (二)全网集中监视主要实现的功能 复杂的网络系统上面,不同的应用占用不同的带宽,重要的 实时监测网络状况。能实时获得网络的当前运行状况,减轻 应用是否得到了最佳的带宽?它占的比例是多少?队列设置和网 运维人员工作负担。能在网络出现故障或拥塞时自动告警,在网 络优化是否生效?通过基于带宽的网络流量分析会使其更加明 络即将出现瓶颈前给出分析和预测。 确。工具主要有艘TG等,它是一个监控网络链路流量负载的工具 合理规划和优化网络。通过对网络流量的监视、数据采集和 软件,它通过snmp协议从设备得到设备的流量信息,并将流量负 分析,给出详细的链路和节点流量分析报告,获得流量分布和流 载以包含PNG格式的图形的HTML文档方式显示给用户,以非常直 向分布、报文特性和协议协分布特性,为网络规划、路由策略、 观的形式显示流量负载。 资源和容量升级提供依据。 (--)网络协议流量分析 引导提供网络增值业务。通过对业务占用带宽的分布、业务 对网络流量进行协议划分,真对不同的协议我们进行流量监 会话的统计分析,能够了解和分析网络特性和用户使用偏好,引 控和分析,如果某一个协议在一个时间段内出现超常暴涨,就有可 导开发和规划新的网络应用和业务平台,进行增值业务的拓展和 --——79———— 计算机光盘软件与应用 工程技术 Computer CD Software and Applications 2010年第5期 市场宣传,引导用户需求。 灵活的资费标准。通过对用户上网时长、上网流量、网络业 务以及目的网站的数据分析,摆脱目前单一的包月制,实现基于 时间段、带宽、应用、服务质量等更加灵活的资费标准。 (三)重点控制实现的功能包括 提供主动的控制功能。不仅仅局限于对网络流量状况的获得, 还能够提供基于网络流量监测系统GATE 1000硬件平台和业界领 先算法的流量控制功能,主动改进网络服务。 满足重点监控需要。可以提供丰富的监控特征参数,可以进 行灵活的复合设定,全面满足运营商需要,也可以通过定制来实 现特定要求。 降低互联互通成本。获得重点出口中继链路的利用率、用户 及PSAMP等标准和协议,实现对采集数据的编码与传输。与通常 的SNMP、Netflow及其它网管标准不同的是,该框架采取了PS/ ̄IP 标准及技术,在不降低监测与分析效果的情况下,尽量减少检测 数据量。 整个框架从总体看,可分为网络流量数据采集和网络数据分 析两大部分。 网络流量数据采集:为适应不断发展的高速网络应用,框架 中采用了分布式网络流量数据采集方案,IP流数据可从不同的设 备以不同的方法来获取。利用路由器/交换机的数据流量采集功能 或是从其他IPFIx/PsA 数据采集设备,也可直接从网络接口卡 等网络数据包摄入设备来得到网络数据,然后再以不同的标准, 最终由网络流量数据采集服务器将所有传来的不同格式的数据集 和协议分布、源和目的网段间的流量分布和趋势,提供运营和互 中。 联成本分析。为网络互通、租用中继以及选择商业战略伙伴决策 为体现现代计算机应用中的兼容性,框架中对网络硬件接口 时提供科学依据,降低成本。 的应用方面,突出了其应用多样性。这样,在原有硬件设备的基 实现区分服务,保证服务质量。流量监控获得的数据,可进 础上,如普通的网卡(NIC)、基于硬件时间戳的Endace DAG卡或 行高低优先级客户的网络资源占用率分析、服务质量的监测。通 者其它的专用FPGA网络接口设备,都可以在libpcap、winpcap 过资费政策的调节、业务等级的区分、在中继线路上实施流量控 等库的支持下,由BPF虚拟处理器作为缺省的包捕获工具。在包 制,优先保证高优先客户的服务质量。 捕获的软件实现上,采用了多线程机制,使用不同形式的数据队 网络安全和抵御DOS攻击。通过连接会话数的跟踪,源目的 列和数据缓冲设备,以应对突发的大量数据包。 地址对的分析,TCP流的分析,能够及时发现网络中的异常流量 接下来对捕获的数据包,分别交由两种方法和途径进行处理: 和异常连接,侦测和定位网络潜在的安全问题和攻击行为,保障 在Netflow标准支持下,同步完成记帐业务。在这种操作模式下, 网络安全。 传送的总的数据量可以被统计下来。数据分析模块利用PSAMP协 五、IPFIx与PSAMP标准 议,根据不同的具体需求采取不同的取样算法,对数据包进行过 IPFIX(IP Flow Information Export,IP流动信息输出) 滤和抽取以进行分析处理。这样就可以根据实际的需要来进行选 是IETF的技术人员2004年才制订的一项规范,使得网络中流量 择,以减少传输和分析处理的数据量。 统计信息的格式趋于标准化。该协议工作于任何厂商的路由器和 网络数据分析:对采集来的网络流量数据,根据不用的应用 管理系统平台之上,并用于输出基于路由器的流量统计信息。 要进行详细的分析处理。框架中这个部分的设计采用以SQL数据 IPFIX定义的格式为Cisco的NetFlow Version 9数据输出 库为中心的分布式数据集中和分析的方法。 格式作为基础,可使IP流量信息从一个输出器(路由器或交换机) 以DBMS为中心的操作可以获得更好的分析样本以及统计粒 传送到另一个收集器。因为IPFIX具有很强的可扩展性,因此网 度。此外,为便于网络管理人员的操作,框架中应用基于Web的 络管理员们可以自由地添加或更改域(特定的参数和协议),以便 直观的、图形化的管理界面,所有数据输出都以脚本语言(x札) 更方便地监控IP流量信息。使用模板的方便之处在于网管和厂商 的形式,直接在Web页面中显示。管理人员可以实时观察网络运 不必为了用户能够查看流量统计信息,而每次都要更换软件 行状况,还可以对历史数据进行浏览、分析,同时还可这些实时 为了完整地输出数据,路由器一般以七个关键域来表示每股 数据传送到其他应用系统,如分布式入侵检测系统、网络跟踪等。 网络流量:源IP地址、目的地IP地址、源端口、目的端口、三 七、结束语 层协议类型、服务类型字节、输入逻辑接口。如果不同的包中所 总的来说,在网络设备上配置网络流量监控系统,对网络流 有的七个关键域都匹配,那么所有这些包都将被视为属于同一股 量进行分析和监控,好处还是显而易见的。特别是对于网络流量 流量。此外,一些系统中还有为了网络统计进行跟踪而附加的非 负荷比较大的网络。可以有效的节省网络带宽和处理资源。也可 关键域,包括源IP掩码、目的地IP掩码、源地址自治系统 以作为计费或者流量控制或者网络规划的参考。 (autonomous system)、目的地自治系统、TCP flag、目的地接 参考文献 口以及IP next hop等。按照IPFIX标准,如果网络操作人员想 f11谢希仁.计算机网络.大连理3-大学出版社 以附加的非关键域来描述包,那么基于模板的格式会在输出包的 f21谭思亮.监听与隐藏一网络侦听揭秘与数据保护技术.求是科技. 报头之后插入一个新域,并新增新的模板记录。 人民邮电出版社 六、网络监测系统框架 采用不同的检测方法,通过分布式监测方式对通过高速IP 作者简介 ・ 网络的数据包进行统计和分析。采集服务器搜集的数据包及统计 朱叶,工学硕士学位,2007年毕业于北京邮电大学信号与信息工 数据被传送到综合服务器,经合并处理后存入数据库,并进行进 程专业。就职于中国民航信息网络股份有限公司 一步的分析处理。在这个过程中,可应用Netflow v9、IPFIX以 (上接第38页) GHOST恢复备份之前,先用PQ等硬盘工具对目标分区进行格式化, 三、总结对比 在格式化的过程中要分外小心,不要误格式化了其它分区中的用 采用传统视窗装机过程,从系统到应用软件,全部安装完毕, 户数据。 大约需要4个小时左右的时间。而采用GHOST备份还原系统,每 参考文献: 次只需要半个小时就可以全部搞定。但是,除了在时间上优势之 …王艳玲,乔英霞编著.计算机组装与维修.北京:电子工业出版社 外,GHOST还有可能遇到的一些问题,对某些病毒,尤其是类机 [2】柳青,林培通,丁海波编著.计算机组装与维修.北京:高等教育出 器狗、顽固木马就算ghost恢复后,仍然存在病毒。 版社 解决办法: f31胡存生编著.电脑组装反病毒.北京:电子工业出版社,2005,3 顽固病毒,比如某些机器狗、顽固木马,是把病毒写入了固 定位置的扇区,通过ghost恢复也可能覆盖不到这些扇区,也就 作者简介 很容易再次触发病毒,甚至某些普通的还原软件、还原卡也起不 任慧琴(1975.4--),女,大学本科学历,山西晋煤集团成庄矿 到作用。在这种情况下,如果您试用了ghost恢复无效,各种普 科开部工程师 通还原产品都无法彻底解决机器狗病毒的问题,可以在使用 一80—