IP網絡流量統計與分析的實現方式

摘 要 網絡流量的統計與分析技術在企業網絡故障的排除過程中是解決問題的開始，通過分析網絡中的數據流量和網絡協議的分布情況來分析故障的原因，為后續決策提供依據。本文主要探討了網絡流量統計與分析的對解決網絡故障的重要性及其實現的幾種方式。

【關鍵詞】網絡流量 流量統計 流量分析 Sniffer NetFlow

隨著互聯網業務的飛速發展，企業網絡面臨著各種各樣的威脅，企業的網絡性能也隨著用戶的行為和應用的多樣化變得難以控制，這使得網管理員頭痛不已。這時候對企業的網絡進行流量統計與分析就顯得尤為重要，通過分析網絡管理員能夠了解網絡協議流量分布情況，了解應用運行的訪問量、響應等數據，對用戶的異常網絡行為如違規流量、攻擊流量能夠快速發現，為制定企業網絡的安全策略、進行流整形提供依據，進而解決企業網絡緩慢的現象。現在的網絡流量統計與分析技術有基于網絡原始流量的統計與分析、基于網絡采樣數據的統計與分析和基于干路中橋接設備的流量統計與分析等方式，這幾種方式的實現有采用Sniffer軟件、采用cisco網絡設備內置的NetFlow功能和在出口網路上橋接流量監控設備等方式來實現統計與分析網絡流量。

1 基于網絡原始流量的統計與分析

1.1 Sniffer技術

Sniffer軟件就是基于網絡原始流量統計分析的一種技術，其原理是通過網絡設備的端口鏡像技術，實現采集網絡流量進行統計與分析。采用這種技術方式的好處是完全獲取了網絡的所有流量，其中包括了豐富的應用層信息，網絡管理員可以對其進行深度分析，甚至是用戶使用的搜索關鍵字都可以進行分析，這種方式實施最為簡單，幾乎不會對網絡中數據的傳輸產生額外的延時，但是因為使用基于網絡原始流量分析，需要收集所有數據幀，所以弊端就是數據量過于龐大，分析端的負載重，數據處理的工作任務繁重。

1.2 Sniffer技術的實現

Sniffer技術的實現，首先要在交換機上配置端口鏡像的功能，將網絡主干的鏈路接口鏡像到另一個接口上做統計與分析，配置如下：

S1（config）#monitor session 1 source interface fastEthernet 0/1

S1（config）#monitor session 1 destination interface fastEthernet 0/4

然后將裝有Sniffer的協議分析平臺接入到鏡像接口上，并啟動Sniffer軟件就可以對網絡的整體流量做完整的統計與分析了。

2 基于網絡采樣數據的統計與分析

2.1 NetFlow技術

NetFlow是Cisco公司提出的一種數據交換標準，在實際應用中都進行采樣的統計方式。其原理是開啟路由器和交換機中的NetFlow功能，動態地收集經過路由器的流的信息記錄到設備的高速緩存中，再將滿足規則的流記錄上報到外部的收集平臺來進行分析。這樣做更有助于網絡管理員監控網絡流量，識別具體流量類型、統計會話數并進行網絡流量的整形控制。NetFlow的優點是在數據交換的同時對數據流信息進行統計，有著速度快、方便、高效的優點，現在被很多的商家廣泛的使用，但它也有一定的弊端，如網絡設備要能夠支持NetFlow，另外還需要購置NetFlow的采集軟件，這對于資金不是很充足的企業客戶無疑是一筆額外的支出。

2.2 NetFlow技術實現

一個NetFlow流量統計與分析平臺包括3個主要的部份：探測器、采集器和報告系統。探測器的作用是監聽網絡數據的，采集器是用來收集探測器傳來的數據的，報告系統是用來從采集器收集到的數據中產生易讀懂的報告。

NetFlow技術的實現首先需要配置設備有一個統一的時鐘源，以保證NetFlow的收集平臺顯示數據流量的時候提供正確的采集時間，配置命令如下：

R1#clock set 23：00：00 6 mar 2015 //設置時間

R1（config）#ntp master //設置R1作為時鐘源

R1（config）#ntp e1/0 //設置時鐘消息更新源接口

第二步、其它的網絡設備需要利用ntp server 命令來獲得時鐘來源

R2（config）#ntp server 192.168.0.1 //192.168.0.1指的是時鐘源的路由器接口IP

第三步、在連接路由器R2要啟動NetFlow功能，以IP地址192.168.5.100為例，指令ip flow-export destination 192.168.5.100 9996指示NetFlow探測器要將收集到的流量發送到192.168.5.100，使用9996號端口進行發送。

R2（config）#ip flow-export destination 192.168.5.100 9996

R2（config）#ip flow-export version 5 //指定開啟NetFlow的版本

R2（config）#interface e1/0 //指定接口

R2（config-if）ip flow ingress //對進入流量進行采集

R2（config-if）ip flow egress //對出站流量進行采集

第四步：在192.168.5.100的主機上安裝NetFlow集中采集平臺，最后在IE瀏覽器輸入IP地址192.168.5.100：8080來登陸，在平臺中進行流量的統計與分析。

3 基于干路中橋接設備的流量統計與分析

3.1 以DPI技術為核心的流量統計與分析

基于干路中橋接設備的流量統計與分析方法的原理是采用的是以DPI（Deep packet inspection，深度數據包檢測）為核心的一種技術。DPI是一種基于應用層的流量檢測和控制技術，DPI 技術在分析包頭的基礎上，增加了對應用層的分析，當TCP 、IP 數據包或UDP 數據流經過基于DPI 技術的網絡設備時，DPI 引擎通過深入讀取IP 包載荷的內容來對OSI 7 層中的應用層信息進行重組，從而識別出IP 包的應用層協議。

基于DPI技術的流量統計與分析方法需要維護一個應用特征碼數據庫，當網絡流量經過DPI技術的檢測設備時，通過將解包后的應用信息與后臺特征碼數據庫進行比對來確定應用類型；它像防病毒軟件一樣，應用特征碼數據庫也要更新才能具有對新型應用的識別和控制能力。它的優點是對數據的捕獲能力強并具有強大的控制能力，可以捕獲不同網段的數據，不需要主干交換設備支持，但是它對設備的處理能力要求高，容易造成網絡瓶頸，價格昂貴。

3.2 基于干路中橋接設備技術實現

干路橋接設備通過是以透明網橋方式部署在企業網絡的出口線路上，對線路上的進出流量進行統計、分析，同時還可以根據網絡管理員制定的策略、規則進行流量整形。

4 結束語

無論是網絡原始數據統計與分析、采樣數據統計與分析還是DPI技術為核心的流量統計分析，都可以為網絡和應用問題分析提供數據包級別的分析能力，NetFlow和Sniffer都采用軟件來實現，因此成本低，但有漏捕的可能；基于干路橋接設備的DPI技術，應用識別率高，捕獲數據全并且有強大的控制能力，但是設備的處理能力要求高，設備串聯在網絡的出口鏈路上成為網絡瓶頸的可能性較大，設備也比較昂貴。企業的網絡管理人員可以根據企業的網絡結構與環境的不同，選擇不同的方法進行網絡流量的統計與分析。

參考文獻

[1]張婧婧，陳福文.互聯網流量分析技術及部署方案[J].情報理論與實踐，2013，10（19）：71-75.

[2]董暉.使用Netflow進行網絡流量監管[J].計算機與網絡，2007，06（11）：38-39.

[3]孫蕊.一個面向IPv6的流量監測原型系統的設計與實現[D].東北大學，2010.

作者簡介

彭錦（1982-），男，廣東省惠州市人。大學本科學歷。講師。研究方向為網絡信息安全。

作者單位

廣東省技師學院 廣東省惠州市 516100