高校校園網絡流量分析及流控策略

◆安 航 李啟東 王超超

?

高校校園網絡流量分析及流控策略

◆安 航 李啟東 王超超

（西南石油大學（成都）深海星網絡實驗室 四川 610500）

隨著網絡技術迅猛發展，高校校園網應用隨之迅猛的增加，校園網應用流量也日趨復雜，加強流量的分析和控制策略研究顯得尤為重要。本文以某高校校園網為實際環境，開展了流量實時監測和數據收集，對存在的異常流量進行了深入分析研究，提出了對應的解決問題的方法。

網絡；流量；TCP；安全

0 引言

近年來，隨著互聯網各種應用技術深入的推廣，導致網絡流量的持續增加，給現存的網絡帶來了超負荷的壓力，嚴重時直接造成整個網絡的癱瘓。特別是當前網絡安全形勢嚴峻，而國內高校校園網是網絡安全高度關注的領域，病毒、攻擊、泛洪等對校園網正常通信造成相當大的威脅，使得對高校校園網流量分析研究成為網絡安全管理和研究的關注點之一。

雖然目前對互聯網網絡流量分析研究較多，但是對高校校園網流量的研究卻較少。高校校園網是互聯網中比較特殊的組成部分，從網絡技術層面上講往往也具有比較復雜的網絡結構，尤其是隨著流媒體技術、p2p技術等迅猛推廣，巨大的數據流量直接沖擊著校園網絡的安全。

另外，隨著網絡病毒的種類不斷增加，攻擊手段越來越多，同時，校園網應用多元化使得校園網管理十分困難。如何保證校園網安全運行，防止黑客/病毒侵害，清除網絡安全隱患和預防網絡擁塞顯得十分重要。我們以某校校園網網絡實際環境為研究對象，進行了流量采集、分析、歸納和研究，獲得對高校校園網絡環境下實際的網絡流量特征的再認識。

1 數據的采集與分析

經過對某校校園網流量的多次采集和分析，我們發現了如下問題。

1.1網絡TCP包亂序、重傳現象明顯

通過對某校校園網流量的多次采集分析發現TCP亂序、重傳包約占了總的校園網流量的4.3%，而這其中TCP亂序包約占了總流量的2.2%，重傳包約占了總流量的2.1%。根據測試數據分析，如圖1所示，這些重傳數據主要由3個部分組成，分別是TCP Retransmission、TCP Fast Retransmission、TCP Spurious Retransmission。這2.1%在數值上較小，但從網絡流量來看卻是很大的一部分。尤其在當前各高校校園網普遍存在網絡帶寬資源非常有限的情況下，這對網絡帶寬和網絡資源利用率無疑會產生很大的影響。

圖1 網絡TCP現象圖

1.2安全隱患

網絡信息安全隱患一直是互聯網中存在且無法根除的問題。在實際工作中，由于網絡安全問題造成的工作、學習上的阻礙，甚至是經濟損失的案例多不勝數。校園網由于存在用戶量大、應用多元化等特點，使得校園網安全防護尤其困難。如圖2所示，通過對該校校園網流量實時監測記錄發現該校校園網存在著諸多攻擊痕跡（非正常訪問流量）。

圖2 校園網流量實時監測記錄

如圖3所示，我們發現網路中存在著大量客戶端向服務器端發起TCP請求的報文，但服務器端未響應。進一步分析發現（如圖 4）這些請求報文基本是TCP三次握手請求報文，因此我們初步判定該校校園網中存在大量客戶端向服務器端請求連接但 得不到服務器端響應的現象。

圖3TCP連接無效請求

圖4 TCP三次握手請求報文

2 問題分析及改進措施

2.1網絡TCP包亂序、重傳現象明顯

（1）問題分析

TCP Retransmission：TCP協議通過重傳(retransmission)來實現TCP片段傳輸的可靠性。若RTT（往返時間）過長，發送方在一個RTO（重傳計時器）時間內收不到接收方的ACK確認包，發送方便會判定之前發送的TCP片段丟失，從而進行TCP片段重傳，直到該片段被正確接收。經數據統計，該校校園網中TCP Retransmission報文約占了總流量的1.5%。

TCP Fast Retransmission：當網絡有輕微擁塞(少量丟包)或校驗碼不對(單個丟包)時，這種情況通常會出現后面的包能夠正常到達接收方，但是接收方發現其Seq號比期望的值大，此時接收方就會發送Dup Ack報文給發送方請求重傳，當發送方收到三個或以上的Dup Ack報文時便會啟用快速重傳。經數據統計，該校校園網中TCP Fast Retransmission報文約占了總流量的0.1%。

TCP Spurious Retransmission：指發送端根據RTT估算出的RTO計算超時了，但實際上只是RTT發生了突變，進而引起了協議棧的一系列行為，而這些行為不是最優的，即發送端認為超時了，但實際上沒有超時。這意味著即使此時接收端已經接收到了相應的TCP報文，并且已經進行了確認，但是發送方由于網絡延遲或丟包等原因沒有收到對應的ACK確認包，仍進行了重傳。經數據統計，該校校園網中TCP Spurious Retransmission報文約占了總流量的0.5%。

我們通過分析發現該校校園網中除了TCP重傳現象較嚴重外，TCP亂序現象也較明顯。因此，我們初步判定該校校園網存在擁塞嚴重、延時大、不穩定等問題。通過流量匯總信息我們發現，該校某設備一天的吞吐量達到了2~3萬GB，然而這還不是核心交換機，可想而知核心交換機承受的壓力會更大，因此我們推測網絡擁塞的原因主要是網絡流量過于巨大。

（2）改進措施

從硬件方面我們可以更換或者升級校園網硬件設備，采用更好的傳輸介質、增加帶寬，使之能夠承受現有校園網絡流量的壓力。

由于網絡擁塞現象明顯，嚴重時可能會使網絡中關鍵業務無法正常進行。因此我們可以進行流控策略，在關鍵節點過濾掉一些無用的流量。同時部署Qos，使相關重要業務流量優先通過，并丟棄一些次要流量。

2.2安全隱患

2.2.1問題分析

造成網絡安全漏洞的原因有很多，我們主要從軟件因素、硬件因素、人為因素、其他因素四個方面進行分析。

（1）軟件因素

軟件上的漏洞我們可以分為研發漏洞、邏輯缺陷、環境缺陷、安全策略等。

例如，SQL注入就屬于研發漏洞，它是由于程序中對用戶輸入檢查不嚴格，用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據。XXS也屬于研發漏洞，它指惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁時，嵌入Web頁面的html代碼會被執行，從而達到惡意用戶的特殊目的，XSS屬于被動式的攻擊，因為其被動且不好利用，所以許多人常忽略其危害性。

（2）硬件因素

由于高校經費等原因，網絡安全設備通常較為單一，只是簡單使用防火墻等簡單安全設備，同時學校網絡安全技術專業性不如企業網絡安全技術專業性強，使得校園網絡安全防護較薄弱。甚至為了省事，某些機構更傾向于購買設備，而軟件方面防護不足，造成了安全投入大但效果不是很好。

（3）人為因素

隨著安全技術不斷提高，黑客攻擊手段、病毒潛藏能力也不斷提高，而高校相對于企業而言由于相關設備較為落后，相關技術較為薄弱，部分老師、學生對網絡安全也不夠重視，在個人PC以及教學PC上使用較為陳舊的殺毒軟件，使得許多病毒有能力潛伏下來而不被發現。由于學生U盤中毒后在不同PC上使用，加速了病毒的擴散。由于相關人員的責任意識薄弱，導致信息泄露，外部人員入侵校園網盜取學生資料，查看學生檔案等問題也時常發生。

（4）其他因素

審批流程復雜、安全部署效率低、安全人手不足、專業安全人員十分稀缺、投入很難保障、可見性很不明顯、缺乏好用的安全巡查工具等也是造成校園網絡安全隱患的重要因素。

2.2.2改進措施

（1）各程序開發者對程序的審核要嚴格，發現漏洞及不安全因素要及時解決更新。

（2）在安全信息系統建設、升級時，通過等級測評進行安全需求分析，確定系統的特殊安全需求。在運維過程中，定期委托相關測評機構開展等級評測，測試是否滿足相應信息安全要求，以對校園網絡安全狀況進行全面掌控。

（3）對高校各網站及應用使用較安全的加密方式，同時不允許設置弱密碼，盡量不使用明文密碼。使用第三方的安全?具/服務。

（4）發現系統漏洞時及時和開發?員/第三?應?提供商進行溝通，盡快修復漏洞；使用?些知名的安全工具進行滲透測試；建立完善的漏洞負責人制度；使用較好的第三方的檢測系統、防護設備、軟件等。

（5）簡化審批流程，加強對網絡安全人員的培養，增加校園網資金投入。

3 結語

網絡信息安全是保證校園業務能正常進行的前提，網絡安全是一場持久戰，不能有一刻的松懈，網絡安全人員要時時巡查。進行安全部署時采用軟硬件結合的方式，即要有較為高級的防火墻等安全設備，還要有優良的安全策略，從而保證網絡流暢能有效提高校園網業務的實施效率和用戶體驗。

[1]沈俊.探析我國高校網絡建設及問題[J].課程教育研究：學法教法研究，2016.

[2]陳思.校園網絡安全技術研究與應用[J].網絡安全技術與應用，2016.

[3]萬斌，李密娜.網絡流量異常檢測及分析的研究[J].網絡安全技術與應用，2015.

西南石油大學第16期大學生課外開放實驗項目（KSZ16194）。