雷達站網絡流量異常的分析和處理

◆陳斯智

（福建省泉州市氣象局 福建 362000）

1 引言

隨著計算機技術的不斷發展和成熟，隨著網絡應用的不斷擴展，網絡上的業務類型越來越多，例如視頻、圖像等，網絡上傳輸的數據類型增加，網絡擁塞的頻率比以前大大提高。由于海量數據流的傳輸，對網絡帶寬和通信質量的要求更高。當網絡受特洛伊木馬、蠕蟲等病毒的影響時，問題就會變得越來越嚴重。當網絡中出現不安全因素時，網絡流量就會產生相應的變化，并且會出現流量異常的現象，因此如何準確檢測網絡異常流量，并采取相應的對策以確保網絡正常運行就顯得非常重要了[1-3]。網絡流量的大小是網絡運行過程中檢測網絡流量異常的重要指標，當然網絡流量異常檢測問題的研究一直沒有停止過，當前有著大量的網絡流量異常檢測模型和方法。網絡流量異常檢測可以認為是一種網絡流量分類問題，即將網絡狀態劃分為正常和異常兩種情況，當處于異常狀態時，就對其進行相應的處理；如果是正常狀態，那么就不用制定相應防范措施[4]。氣象雷達站全天候運行，大量的數據往省局的服務器上傳，流量出現異常將會影響數據上傳的及時率，嚴重的話會導致數據的缺測，影響考核指標。所以如何準確快速地找出流量異常的方法就至關重要了。

2 網絡流量的概況

網絡在運行的過程中，會產生數據流，網絡流量就是網絡的數據量。在運行網絡流量的過程中，網絡運行故障或網絡操作有異常的情況下，會導致網絡流量異常。在網絡流量運行過程中，由于網絡設備的變化，尤其是網關等設備的變化，將影響網絡流量的變化。如果原始網絡設備出現故障，則需要更換網絡設備，添加新的網絡設備會在一定程度上影響網絡流量的大小。在網絡運行的初始階段，網絡運行不正常等導致的網絡流量異常尤其明顯，流量變化也相對劇烈，但是在非網絡流量異常的情況下，網絡流量已恢復穩定，即使有發生變化，其變化也是很小，相對穩定，不容易直觀地發現[5]。

當某個網絡信息或內容具有更高的熱點時，則網站流量會突然增加。對于許多網站，他們的網絡容量受到限制，網絡帶寬和處理能力也受到限制。當服務器繁忙或網絡阻塞時，網站的性能將會下降。網絡突發流量的特征是指它們會在網絡中存在一定的時限，在限制范圍內，新的網絡用戶繼續進入網絡系統，從而導致網絡流量有著明顯的變化[5]。

泉州氣象雷達站采用電信移動雙鏈路冗余的方式接入，如圖 1所示。電信帶寬為 4Mbps，理論上傳下載速度為500KB/s，移動帶寬為8Mbps，理論上傳下載數據為1000KB/s。通過路由器的 VRRP 協議，移動路由器設置成高優先級，為主用路由器，電信路由器設置成低優先級，為備用路由器。默認情況下，業務數據首選移動線路傳輸，而在移動線路出現故障時，會自動切換到電信線路。

圖 1 雷達站網絡拓撲

3 網絡流量異常的發現及處理過程

泉州雷達站與市氣象局為站局分離模式，在雷達站使用內網訪問市局業務平臺時，發現操作異常卡頓。進行 ping 包測試，延時嚴重，都在 100ms 以上，并且會斷續出現丟包現象。利用 Tracert 命令，進行路由節點追蹤，發現數據默認走了電信線路。雷達實時數據傳輸流量約為350KB/s，此大小傳輸速率，無論是電信線路，還是移動線路帶寬都是滿足的。首先懷疑是電信線路開通的帶寬不足而造成堵塞。經電信運營商方面確認后，線路帶寬正常為4Mbps，但是發現通過電信線路出口數據流量峰值高達5Mbps，帶寬不足導致數據堵塞延時。為不影響雷達數據傳輸的時效性，須先排查默認線路變化的原因。分別登入移動、電信路由器查看配置，發現電信路由的 VRRP 優先級比移動路由的優先級高，導致數據默認走電信線路。解決方法為：

在電信路由器上 G0/0 刪除默認為 100 的優先級，命令如下：

在移動路由器上設置 G0/0 優先級的優先級為 120，命令如下：

配置完成后，分別重新查看 VRRP 配置，移動線路狀態顯示為“Master”，圖 2所示，電信線路狀態顯示為“Backup”圖 3所示。

圖 2 移動路由器 VRRP 正確配置信息

圖 3 電信路由器 VRRP 正確配置信息

通過 tracert 命令，追蹤省局目的 IP 地址，此時數據已經正常優先通過移動線路傳輸。再訪問市局其他業務平臺，網速也有明顯提升。分析造成路由器主備線路對調的原因，可能是當初配置路由時未及時保存信息，重啟路由操作后，導致配置信息丟失。故在路由器配置操作完成后，需及時保存配置，并導出路由器配置，以便后續設備出現故障能夠及時導入還原。默認線路調整后，出口數據流量還是很大。因此必須找出異常流量的設備，排查是否由于電腦中毒導致對外攻擊或者是遭到攻擊。如果關閉所有電腦，逐一排查是否有異常流量的方法顯然不太現實，因為有多臺業務機在實時傳輸數據。但是，如果通過對交換機數據流量進行抓包分析，就可以無須關閉設備，且明確判斷出流量異常的設備。數據抓包的方法步驟如下：

首先設置交換機的映像端口，一個端口鏡像（SPAN）會話只能有一個目的端口（監控端口），但是可以有多個源端口（被監控端口）。我們設置移動和電信路由接入交換機的 G0/1 和 G0/2 口為被監視的端口，命令為

端口鏡像使用結束后，可以使用以下命令刪除。

ZMS-QZ（config）#no monitor session 1

如果對銳捷交換機命令不熟悉的，也可以通過交換機的 WEB 管理平臺進行配置。用管理員賬號密碼登錄 WEB 頁面，左側列表選擇“系統管理”下的“端口鏡像”，端口鏡像設置中，選擇 G0/18 為監控端口，勾選 G0/1 和 G0/2 為被監控端口，保存。

頁面配置完成，我們可以輸入 show monitor 來驗證命令，得出如下信息為配置成功。

交換機鏡像配置完成后，在筆記本上安裝 wireshark 抓包軟件，裝好后筆記本網口直連到交換機 G0/18。wireshark 是捕獲機器上的某一塊網卡的網絡包，當你的筆記本上有多塊網卡的時候，你需要選擇直連到交換機的那塊網卡。

點擊“Start”，就可開始抓包。通過分析抓包軟件抓取的數據包信息，雷達站有一臺電腦與市局一臺服務器有大量 TCP 鏈接，而且請求的數據包都比較大。確定好是哪臺電腦流量異常，就可以針對那臺電腦做出檢查。經查，雷達站電腦上開啟了天氣實景監控系統的控制客戶端，對全市8 個站的實景做出實時監控。因實時監控需占用大量的流量帶寬。關閉該控制客戶端后，發現流量明顯回歸正常，故障排除。

4 結論

對于復雜或故障特征并不明確的網絡故障，可以采用抓包軟件在關鍵故障點進行抓包的方法，通過獲取的網絡數據包，結合 TCP/IP 協議簇的工作原理，分析數據包的收發、重傳、丟包等情況，則可以迅速的縮小故障源的范圍，甚至獲得故障原因的直接信息。利用抓包軟件實現網絡安全，防止網上病毒傳播并排查網絡故障有重大意義。