前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)流量監(jiān)測(cè)主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:WinpCap;流量監(jiān)測(cè);數(shù)據(jù)包捕獲
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2011)31-0000-0c
Application of WinPcap in the Network Traffic Monitoring
ZHANG Xue-jun,XU Yuan
(Internet of Things Department of Jiangnan University, Wuxi 214122, China)
Abstract: Introduction of computer network traffic monitoring technology and flow monitoring methods, the main study the WinPcap packet capture system structure and its main function, based on the WinPcap packet capture system with simple structure, fast data capture, protocol recognition rate, etc., which of the three modules complement each other to achieve the basic functions of data acquisition network, describes the network based on WinPcap packet capture and analysis methods and the main steps.
Key words: WinpCap; network traffic monitoring system; packet capture
目前互聯(lián)網(wǎng)已經(jīng)非常普及,有關(guān)網(wǎng)絡(luò)的應(yīng)用也越來越多,從瀏覽網(wǎng)頁和收發(fā)郵件,到打游戲,聊天,看電影,聽音樂,打電話包羅萬象。電視網(wǎng)和電話網(wǎng)能夠做的事情,現(xiàn)在寬帶網(wǎng)也能夠做到了,同時(shí)寬帶網(wǎng)還能夠做電視網(wǎng),電話網(wǎng)以外的許多事情。而這一切,都是靠信息在網(wǎng)絡(luò)上的流動(dòng)來實(shí)現(xiàn)的。汽車在馬路上跑,常常會(huì)引起交通堵塞以及不遵守交通規(guī)則等現(xiàn)象,因此需要交通部門來實(shí)時(shí)監(jiān)測(cè)道路情況和處理突發(fā)事件。同樣網(wǎng)絡(luò)流量也需要監(jiān)測(cè)和控制,通過監(jiān)控可以對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行合理調(diào)節(jié)或配置、保證網(wǎng)絡(luò)高效運(yùn)行、提高網(wǎng)絡(luò)資源的利用效率、也可以用于對(duì)網(wǎng)絡(luò)用戶行為和網(wǎng)絡(luò)業(yè)務(wù)的分析。網(wǎng)絡(luò)流量監(jiān)測(cè)是網(wǎng)絡(luò)管理的重要組成部分,而數(shù)據(jù)報(bào)捕獲又是網(wǎng)絡(luò)流量監(jiān)測(cè)的前提。
1 流量監(jiān)測(cè)與分析技術(shù)概述
1.1 網(wǎng)絡(luò)流量監(jiān)測(cè)
網(wǎng)絡(luò)流量指通過網(wǎng)絡(luò)的數(shù)據(jù)量,是衡量網(wǎng)絡(luò)性能的重要參數(shù)。網(wǎng)絡(luò)監(jiān)測(cè)就是通過一定的方法獲取網(wǎng)絡(luò)流量數(shù)據(jù),而這些流量數(shù)據(jù)的采集是進(jìn)一步分析網(wǎng)絡(luò)負(fù)載性能以及網(wǎng)絡(luò)的安全性的前提。網(wǎng)絡(luò)流量的監(jiān)測(cè)是網(wǎng)絡(luò)測(cè)量中的重要技術(shù)之一,網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)大致上可以分為流量采集、流量分析和流量控制三個(gè)方面。
1.2 流量監(jiān)測(cè)分析的方法及分類
流量監(jiān)測(cè)系統(tǒng)通常是根據(jù)對(duì)網(wǎng)絡(luò)流量某個(gè)特定方面的分析來設(shè)計(jì)的,正是由于需要分析的內(nèi)容不同,就產(chǎn)生了各種網(wǎng)絡(luò)流量監(jiān)測(cè)方法,這些方法主要分為基于主機(jī)內(nèi)嵌軟件的方法、基于SNMP的流量監(jiān)測(cè)方法、基于Netflow的流量監(jiān)測(cè)方法、基于硬件探針的監(jiān)測(cè)方法等。
1.2.1 基于主機(jī)內(nèi)嵌軟件的方法
主機(jī)內(nèi)嵌軟件的方法是指在主機(jī)內(nèi)安裝流量檢測(cè)軟件來完成流量檢測(cè)任務(wù)。主機(jī)操作系統(tǒng)中,一般會(huì)把網(wǎng)絡(luò)通信功能功能實(shí)現(xiàn)在相對(duì)獨(dú)立的軟件模塊 ,例如設(shè)備驅(qū)動(dòng)程序中。主機(jī)與網(wǎng)絡(luò)的通信一般是通過對(duì)調(diào)用軟件套接字Socket來實(shí)現(xiàn)。因此在這個(gè)位置上嵌入一個(gè)軟件就可以通過檢測(cè)對(duì)通信模塊的調(diào)用來截獲往返通信的主要內(nèi)容,目前有許多軟件實(shí)現(xiàn)這一功能。Windows 操作系統(tǒng)下的檢測(cè)軟件WinPcap,實(shí)現(xiàn)了基本的報(bào)文截獲功能,可自由下載使用,成為了許多流量監(jiān)測(cè)軟件的基本組成部分。
1.2.2 基于SNMP的流量監(jiān)測(cè)方法
SNMP用于對(duì)網(wǎng)絡(luò)設(shè)備的管理,幾乎所有的網(wǎng)絡(luò)設(shè)備都具備該能力,基于SNMP的流量信息采集方法,實(shí)質(zhì)上是用軟件提取存儲(chǔ)在網(wǎng)絡(luò)設(shè)備上的流量信息,該方法配置簡單,成本較低,基于SNMP收集的網(wǎng)絡(luò)流量信息只包括字節(jié)數(shù)、報(bào)文數(shù)等基本的流量信息,不能滿足復(fù)雜的流量監(jiān)測(cè)要求。
1.2.3 基于Netflow的流量監(jiān)測(cè)方法
Netflow是Cisco公司提出的專業(yè)的流量監(jiān)測(cè)的技術(shù)標(biāo)準(zhǔn),主要運(yùn)行在該公司生產(chǎn)的網(wǎng)絡(luò)設(shè)備上,與基于SNMP的流量監(jiān)測(cè)方法相比,該方法能夠滿足復(fù)雜的流量監(jiān)測(cè)需要,目前應(yīng)用最普遍的是NetFlowV5。
1.2.4 基于硬件探針的監(jiān)測(cè)方法
硬件探針是一種用來獲取網(wǎng)絡(luò)流量的硬件設(shè)備,使用時(shí)將它連接在需要捕捉流量的鏈路中,通過分流鏈路上的數(shù)字信號(hào)而獲取流量信息。 一個(gè)硬件探針通常只能監(jiān)視一條鏈路。而對(duì)于全網(wǎng)流量的監(jiān)測(cè)使用NetFlow更為合適。與其他的3種方式相比,基于硬件探針的最大特點(diǎn)是能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息。
2 WinPcap包截獲系統(tǒng)
數(shù)據(jù)包的截獲是流量監(jiān)測(cè)系統(tǒng)中流量采集的主要技術(shù).在大多數(shù)Unix系統(tǒng)的內(nèi)核模塊本身就是截獲數(shù)據(jù)包的機(jī)制。而在Windows平臺(tái)下,系統(tǒng)提供很少的數(shù)據(jù)包捕獲接口,而提供的具有包截獲功能的API,也只能截獲IP數(shù)據(jù)包,很少能直接獲取數(shù)據(jù)鏈路層上數(shù)據(jù)幀。WinPcap是基于Win32平臺(tái)的開放源代碼網(wǎng)絡(luò)數(shù)據(jù)包截獲和分析的系統(tǒng)。它彌補(bǔ)了Windows內(nèi)核在包捕獲方面的不足,該系統(tǒng)性能穩(wěn)定而且效率極高,利用它提供的豐富且功能強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)包處理函數(shù),可以滿足對(duì)數(shù)據(jù)包處理有嚴(yán)格要求的多數(shù)應(yīng)用。
2.1 WinPcap的體系結(jié)構(gòu)
WinPcap是由意大利人Fulvio Risso和Loris Degioanni等人提出的。是為Linux下的Libcap移植到Windows下而設(shè)計(jì)的,它的主要思想來源于Unix系統(tǒng)中最著名的伯克利軟件套件(Berkeley software Distribution,BSD)架構(gòu),WinPcap的基本結(jié)構(gòu)如圖a所示。它由處于內(nèi)核級(jí)的網(wǎng)絡(luò)組包過濾器(Netgroup Packet Filter,NPF)、處于用戶級(jí)的動(dòng)態(tài)鏈接庫(Packet.dll)和高級(jí)動(dòng)態(tài)鏈接庫Wpcap.dll等3個(gè)模塊組成。
1) 網(wǎng)絡(luò)組包過濾器。它是WinPcap架構(gòu)的核心,屬于最底層的模塊,它與NIC驅(qū)動(dòng)交互,并向上提供一些函數(shù)組,從而能在讀取和寫入網(wǎng)絡(luò)數(shù)據(jù)包。它能獲取原始以太網(wǎng)數(shù)據(jù)包,并進(jìn)行相應(yīng)的過濾,然后傳給高層的應(yīng)用程序處理。NPF有著高效和處理迅速兩大特點(diǎn),在流量很大的網(wǎng)絡(luò)中也能正常高效的工作。
2) 低級(jí)動(dòng)態(tài)鏈接庫。Packet.dll為Win32平臺(tái)上為數(shù)據(jù)包驅(qū)動(dòng)程序提供了一個(gè)公共的接口。不同的Windows版本在用戶態(tài)和內(nèi)核態(tài)之間提供互不相同的接口,而Packet.dll可以屏蔽這些接口區(qū)別,提供一個(gè)與系統(tǒng)無關(guān)的API,該API能夠直接訪問NPF驅(qū)動(dòng)程序。基于Packet.dll開發(fā)的數(shù)據(jù)包截獲程序可以不作任何修改運(yùn)行于不同的Win32平臺(tái)。Packet.dll具有如獲取適配器名稱、動(dòng)態(tài)驅(qū)動(dòng)器加載以及獲得主機(jī)掩碼及以太網(wǎng)沖突次數(shù)等附加功能。
3) 高級(jí)動(dòng)態(tài)鏈接庫。Wpcap.dll與Packet.dll不同,它處于更高層,且與操作系統(tǒng)無關(guān),是對(duì)Packet.dll的高層封裝。它和應(yīng)用程序鏈接在一起,提供了一組功能強(qiáng)大且跨平臺(tái)的函數(shù),利用這些函數(shù),可以不去關(guān)心適配器和操作系統(tǒng)的類型。Wpcap.dll含有諸如產(chǎn)生過濾器、定義用戶級(jí)緩沖以及包注入等高級(jí)功能。編程人員既可以使用包含在Packet.dll中的低級(jí)函數(shù)直接進(jìn)入內(nèi)核級(jí)調(diào)用,也可以使用Wpcap.dll提供的高級(jí)函數(shù)調(diào)用,這樣功能更強(qiáng),使用也更為方便。Wpcap.dll的函數(shù)調(diào)用會(huì)自動(dòng)調(diào)用Pactet.dll中的低級(jí)函數(shù),并且可能被轉(zhuǎn)換成若干個(gè)NPF系統(tǒng)調(diào)用。
圖1
2.2 WinPcap的主要功能
在WinPcap包截獲系統(tǒng)中,整個(gè)包截獲架構(gòu)的基礎(chǔ)是網(wǎng)絡(luò)驅(qū)動(dòng)器接口規(guī)范(NDIS),它主要為網(wǎng)絡(luò)適配器和各種協(xié)議驅(qū)動(dòng)程序提供接接口函數(shù),使得協(xié)議驅(qū)動(dòng)程序發(fā)送和接收數(shù)據(jù)包時(shí)不必考慮具體的適配器和Win32操作系統(tǒng)。WinPcap中的NPF正是通過回調(diào)函數(shù)Packet_tap()調(diào)用這些接口函數(shù)來截取網(wǎng)絡(luò)數(shù)據(jù)包,進(jìn)而為用戶層提供了包截獲、數(shù)據(jù)包轉(zhuǎn)儲(chǔ)、包注入、網(wǎng)絡(luò)監(jiān)測(cè)等功能。
1) 包截獲。包截獲是NPF最重要的操作,它通過過濾從網(wǎng)卡中接收到數(shù)據(jù)包,并原封不動(dòng)地送往用戶層應(yīng)用程序。它主要依靠一個(gè)包過濾器和一個(gè)環(huán)緩沖器來實(shí)現(xiàn)。NPF中的包過濾器延用了Unix下BSD中的分組過濾器BPF,BPF是一個(gè)虛擬處理機(jī),用于運(yùn)行用戶自定義的過濾程序。通過Wpcap.dll把用戶定義的包過濾規(guī)則編譯到BPF程序中,并把程序注入到內(nèi)核。當(dāng)有數(shù)據(jù)包到達(dá)的時(shí)候,NPF運(yùn)行該內(nèi)核程序進(jìn)行數(shù)據(jù)包的過濾。環(huán)緩沖器用來存儲(chǔ)數(shù)據(jù)包避免包丟失,數(shù)據(jù)包存儲(chǔ)時(shí)被加了一個(gè)包頭,記錄時(shí)問戳以及包大小等信息。使用緩沖器可以把一組數(shù)據(jù)包一起拷貝給應(yīng)用程序,這減少了讀寫的次數(shù),提高了運(yùn)行速度。緩沖器的大小是非常重要的一個(gè)參數(shù),因?yàn)樗鼪Q定了一次拷貝能送多少數(shù)據(jù)包給應(yīng)用程序。緩沖器設(shè)置比較大時(shí),它需要等待一系列包到達(dá)后才往應(yīng)用程序送,由于減少拷貝次數(shù)節(jié)省了處理器的資源,如在嗅探器中就適合設(shè)置大的緩沖器。而有些實(shí)時(shí)性要求比較高的應(yīng)用程序(如ARP轉(zhuǎn)向器),需要在應(yīng)用程序準(zhǔn)備好時(shí)就能得到數(shù)據(jù),因而緩沖器設(shè)置較小。WinPcap庫中提供了專門設(shè)置緩沖器大小和讀包溢出時(shí)間的函數(shù),它們的默認(rèn)值分別是16kB和ls。
2) 數(shù)據(jù)包轉(zhuǎn)儲(chǔ)。用傳統(tǒng)方法,把數(shù)據(jù)包保存到硬盤上通常需要3~4個(gè)緩沖器,每個(gè)數(shù)據(jù)包需要拷貝多次。當(dāng)網(wǎng)卡收到包以后,包會(huì)存放在內(nèi)核空間內(nèi),這需要一個(gè)緩沖器。由于上層應(yīng)用運(yùn)行在用戶空問,無法直接訪問內(nèi)核空間,因此要通過系統(tǒng)調(diào)用往上層應(yīng)用系統(tǒng)送,這時(shí)會(huì)發(fā)生一次復(fù)制過程。用戶應(yīng)用程序有兩個(gè)緩沖器,一個(gè)用于暫存數(shù)據(jù),一個(gè)用于標(biāo)準(zhǔn)輸出函數(shù)中向硬盤寫文件,還有一個(gè)緩沖器存在文件系統(tǒng)中。如果對(duì)一般的應(yīng)用來說,這樣的系統(tǒng)開銷還可以承受,但是對(duì)于大量讀取網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用來說,這樣的開銷就很難承受了。利用NPF提供的數(shù)據(jù)包轉(zhuǎn)儲(chǔ)功能,不需要用戶應(yīng)用程序的介入,在內(nèi)核層直接尋址文件系統(tǒng)。因?yàn)闇p少了兩個(gè)緩沖器。而且只要一次簡單的拷貝,大量減少了系統(tǒng)調(diào)用,提高了轉(zhuǎn)儲(chǔ)的效率。在轉(zhuǎn)儲(chǔ)之前,還可以進(jìn)行包過濾,只把需要的數(shù)據(jù)包保存到硬盤上面。
3) 包注入。NPF除了可以從網(wǎng)絡(luò)中截獲數(shù)據(jù)包,還可以往網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包。包注入時(shí),NPF對(duì)數(shù)據(jù)包不進(jìn)行任何封裝,所以應(yīng)用程序需要針對(duì)不同應(yīng)用給每個(gè)數(shù)據(jù)包添加相應(yīng)的包頭。封裝時(shí)可以不計(jì)算幀校驗(yàn)序列,網(wǎng)卡驅(qū)動(dòng)程序會(huì)自動(dòng)計(jì)算它并添加到每個(gè)數(shù)據(jù)包的結(jié)尾。通常情況下每往網(wǎng)絡(luò)發(fā)送一個(gè)包,都要進(jìn)行一次系統(tǒng)調(diào)用(WriteFile()),而通過NPF可以實(shí)現(xiàn)一次系統(tǒng)調(diào)用重復(fù)發(fā)送同一個(gè)數(shù)據(jù)包,這提高了發(fā)送效率,適合應(yīng)用于網(wǎng)絡(luò)高速流量測(cè)試。
4) 網(wǎng)絡(luò)監(jiān)測(cè)。事實(shí)上,通過WinPcap提供的包截獲功能,在用戶層得到需要檢測(cè)的數(shù)據(jù)包后,通過簡單的分類統(tǒng)計(jì)就能實(shí)現(xiàn)網(wǎng)絡(luò)檢測(cè)。但是如果網(wǎng)絡(luò)流量很大,這可能會(huì)耗盡處理器資源。WipPcap提供了內(nèi)核層的監(jiān)測(cè)模塊,不需要把數(shù)據(jù)包送到應(yīng)用程序就能實(shí)現(xiàn)分類統(tǒng)計(jì)。該監(jiān)測(cè)模塊由分類器和計(jì)數(shù)器組成,在內(nèi)核層和用戶層不分配緩沖區(qū),統(tǒng)計(jì)數(shù)據(jù)直接來源于適配器驅(qū)動(dòng)程序,這大大節(jié)省了內(nèi)存和處理器資源。
2.3 WinpCap 的主要優(yōu)點(diǎn)
1)高性能。WinPcap 實(shí)現(xiàn)了有關(guān)數(shù)據(jù)包捕獲文獻(xiàn)中描述的所有典型的優(yōu)化方法(如內(nèi)核級(jí)的過濾與緩沖、減少上下文交換、數(shù)據(jù)包部分內(nèi)容復(fù)制),加上一些原創(chuàng)的優(yōu)化方法,如JIT 過濾器編輯(JIT filter compilation)與內(nèi)核級(jí)的統(tǒng)計(jì)過程,WinPcap 勝過其他類似的方法。
2)最終用戶易于使用WinPcap 作為單個(gè)小的可執(zhí)行文件,可運(yùn)行在每個(gè)所支持的操作系統(tǒng)上,開始使用這個(gè)可執(zhí)行文件后,Windows 就能捕獲與發(fā)送原始數(shù)據(jù)包,操作簡單。
3)程序員易于使用每個(gè)版本的WinPcap 帶有一個(gè)開發(fā)者包(developer's pack),包括文檔、庫與include 文件,是開發(fā)應(yīng)用程序所必需的。開發(fā)者包還包含一個(gè)示例程序集,可用Visual Studio 或Cygnus 編譯,用來作為一個(gè)極好的起點(diǎn)。
4)多平臺(tái)。WinPcap 在Windows NT、Windows2000、Windows XP 與Windows Server 2003 平臺(tái)上被積極地維護(hù)。對(duì)Windows Vista 具有初步的支持,但有一些特性并不具備。
5)可移植性。WinpCap與libpcap具有完全的兼容性。這意味著可將Unix 或Linux 下存在的工具移植到Windows下。也可把Windows應(yīng)用程序很方便地移植到Unix下使用。
2.4 WinPcap捕獲數(shù)據(jù)包過程
首先獲取網(wǎng)卡設(shè)備列表并選擇要監(jiān)聽的一塊網(wǎng)卡,將其設(shè)置為混雜模式,還要設(shè)置好過濾器等參數(shù);然后把網(wǎng)卡上的數(shù)據(jù)包復(fù)制到內(nèi)核緩沖區(qū)中;最后通過上層的調(diào)用,把內(nèi)核緩沖區(qū)中的數(shù)據(jù)包拷貝到用戶緩沖區(qū)中,再交給應(yīng)用程序?qū)?shù)據(jù)進(jìn)行加工提取出有用的信息。利用WinPcap驅(qū)動(dòng)捕獲的數(shù)據(jù)幀其實(shí)是經(jīng)過傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層的封裝而生成的太網(wǎng)數(shù)據(jù)幀,因此可以對(duì)數(shù)據(jù)幀作進(jìn)一步解析得到有用信息。
3 WinPcap捕獲數(shù)據(jù)包過程
WinPcap捕獲數(shù)據(jù)包分成以下幾個(gè)步驟,首先獲取網(wǎng)卡設(shè)備列表并選擇要監(jiān)聽的一塊網(wǎng)卡,將其設(shè)置為混雜模式,還要設(shè)置好過濾器等參數(shù);然后把網(wǎng)卡上的數(shù)據(jù)包復(fù)制到內(nèi)核緩沖區(qū)中;最后通過上層的調(diào)用,把內(nèi)核緩沖區(qū)中的數(shù)據(jù)包拷貝到用戶緩沖區(qū)中,再交給應(yīng)用程序?qū)?shù)據(jù)進(jìn)行加工提取出有用的信息。利用WinPcap驅(qū)動(dòng)捕獲的數(shù)據(jù)幀其實(shí)是經(jīng)過傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層的封裝而生成的太網(wǎng)數(shù)據(jù)幀,因此可以對(duì)數(shù)據(jù)幀作進(jìn)一步解析得到有用信息。捕獲到了網(wǎng)絡(luò)數(shù)據(jù)幀,便可以進(jìn)一步完成網(wǎng)絡(luò)流量分析和網(wǎng)絡(luò)流量控制等任務(wù),這些任務(wù)構(gòu)成了一個(gè)完整的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)。
4 結(jié)論
WinPcap系統(tǒng)是一個(gè)功能強(qiáng)大的用于網(wǎng)絡(luò)數(shù)據(jù)獲取開發(fā)包,它直接和網(wǎng)卡打交道,獲取數(shù)據(jù)鏈層的數(shù)據(jù),能捕獲數(shù)據(jù)鏈路層的所有數(shù)據(jù)包。WinPcap的分層思想為Windows平臺(tái)提供了一個(gè)完整的、簡單的、系統(tǒng)無關(guān)的編程接口,為在Windows平臺(tái)下開發(fā)高性能的網(wǎng)絡(luò)數(shù)據(jù)獲取軟件提供了方便。WinPcap的兩級(jí)緩存的設(shè)計(jì),極大地提高了數(shù)據(jù)包的捕獲率,使丟包率降到了很低的程度,尤其是它內(nèi)核級(jí)緩存的動(dòng)態(tài)循環(huán)存儲(chǔ)的思想,使它在數(shù)據(jù)捕獲的速度方面優(yōu)于UNIX中的Libpcap??傊?,基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)獲取系統(tǒng)實(shí)驗(yàn)方案具有結(jié)構(gòu)簡單、捕獲數(shù)據(jù)快、協(xié)議識(shí)別率高等特點(diǎn),它的三個(gè)模塊的相互套用,實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)獲取的基本功能。本文就WinPcap的系統(tǒng)結(jié)構(gòu)及其功能原理進(jìn)行了介紹,最后闡述了WinPcap捕獲數(shù)據(jù)包過程。
參考文獻(xiàn):
[1] 張偉,王韜.基于WinPcap的數(shù)據(jù)包捕獲及應(yīng)用[J].計(jì)算機(jī)工程與設(shè)計(jì),2008,29(7):1649-1651.
[2] 楊永.互聯(lián)網(wǎng)流量監(jiān)測(cè)系統(tǒng)研究[J].信息網(wǎng)絡(luò)安全,2010(7):22-28.
[3] 吳玉,李嵐.基于WinPcap 的網(wǎng)絡(luò)數(shù)據(jù)獲取系統(tǒng)的研究[J].研究與設(shè)計(jì),2007,23(6):10-12.
[4] 魏敏,奚茂龍,周陽花.基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)解析系統(tǒng)[J].計(jì)算機(jī)安全,2010(11):49-51.
[5] 胡曉元,史涪山.WinPcap包截獲系統(tǒng)的分析及其應(yīng)用[J].計(jì)算機(jī)工程,2005,31(2):96-98.
[6] 劉芳.網(wǎng)絡(luò)流量監(jiān)測(cè)與控制[M].北京:北京郵電大學(xué)出版社,2009.
關(guān)鍵詞: P2P; 流量信息; 結(jié)構(gòu)異常; 決策樹; 檢測(cè)技術(shù)
中圖分類號(hào): TN711?34; TP393 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào): 1004?373X(2017)09?0093?03
Abstract: With the development of information technology, the peer?to?peer (P2P) network information traffic often deviates from the normal range. The detection technology for P2P traffic detection and abnormal traffic is studied on the basis of the decision tree algorithm. The P2P traffic detection model based on improved C4.5 decision tree is used to train the massive training datasets by means of the P2P anomaly traffic detection model to modify the error gradually. The simulation test in laboratory was performed. The P2P network traffic classifier based on improved C4.5 decision tree has perfect classification effect after selecting the characteristics of the network traffic. The classification detection rate is 94.6%~96.7%, which shows that the improved C4.5 decision tree algorithm can detect the P2P traffic effectively, and provide the reference for studying the P2P anomaly traffic detection technology in future.
Keywords: P2P; traffic information; abnormal structure; decision tree; detection technology
0 引 言
目前,S著信息技術(shù)的發(fā)展,對(duì)等網(wǎng)絡(luò)(P2P)信息流量增長越來越快[1?3]。根據(jù)國內(nèi)互聯(lián)網(wǎng)流量模式報(bào)告顯示,在整個(gè)互聯(lián)網(wǎng)流量中,P2P流量占到70%左右[4]。近年來,經(jīng)常出現(xiàn)網(wǎng)絡(luò)流量偏離正常范圍的異常情況,導(dǎo)致流量出現(xiàn)異常主要是由惡意網(wǎng)絡(luò)攻擊造成的,如DOS攻擊、蠕蟲傳播、僵尸網(wǎng)絡(luò)等攻擊,同時(shí)由于網(wǎng)絡(luò)偶發(fā)性線路中斷、配置失誤也會(huì)引起流量的異常,這就會(huì)造成網(wǎng)絡(luò)服務(wù)質(zhì)量下降,嚴(yán)重時(shí)會(huì)直接導(dǎo)致網(wǎng)絡(luò)癱瘓[5]。
P2P大量占用互聯(lián)網(wǎng)帶寬,影響用戶上網(wǎng)正常運(yùn)行,檢測(cè)管控P2P流量是網(wǎng)絡(luò)管理難題[6]。因而在大規(guī)模網(wǎng)絡(luò)環(huán)境中,對(duì)網(wǎng)絡(luò)異常進(jìn)行檢測(cè),同時(shí)對(duì)網(wǎng)絡(luò)異常提供預(yù)警信息,對(duì)維護(hù)網(wǎng)絡(luò)正常運(yùn)行意義十分重大[7]。本文以決策樹算法為基礎(chǔ),對(duì)P2P流量檢測(cè)和流量異常時(shí)的檢測(cè)技術(shù)進(jìn)行研究。
1 對(duì)等網(wǎng)絡(luò)P2P概況
對(duì)等網(wǎng)絡(luò)P2P實(shí)質(zhì)上屬于分布式網(wǎng)絡(luò),參與者均可共享使用公共部分的一些硬件資源,如硬件處理和存儲(chǔ)能力,共享資源的服務(wù)、內(nèi)容由網(wǎng)絡(luò)提供,節(jié)點(diǎn)可對(duì)這些資源進(jìn)行直接訪問,不需要經(jīng)過任何中間實(shí)體。P2P最具有代表性的應(yīng)用是進(jìn)行文件共享,同時(shí)P2P的共享還有P2P計(jì)算、P2P形式的通信網(wǎng)絡(luò)等。P2P與客戶/服務(wù)器模型的區(qū)別是網(wǎng)絡(luò)中節(jié)點(diǎn)可對(duì)其他節(jié)點(diǎn)資源或服務(wù)進(jìn)行獲取,還可提供資源或服務(wù),這是P2P的基本思想。在P2P網(wǎng)絡(luò)中,每個(gè)節(jié)點(diǎn)具有對(duì)等的權(quán)利、義務(wù)、服務(wù)、通信、資源消費(fèi)。
2 P2P流量監(jiān)控系統(tǒng)結(jié)構(gòu)
P2P流量監(jiān)控系統(tǒng)功能包括檢測(cè)網(wǎng)絡(luò)流量、控制網(wǎng)絡(luò)流量兩部分。對(duì)網(wǎng)絡(luò)流量進(jìn)行控制的前提是準(zhǔn)確檢測(cè)網(wǎng)絡(luò)流量。在進(jìn)行流量檢測(cè)時(shí),流量特征和協(xié)議特征要進(jìn)行相互匹配,在未知流量匹配上以后,對(duì)其分類才能進(jìn)行識(shí)別,P2P流量檢測(cè)中必須具有協(xié)議特征庫的建立。同時(shí),進(jìn)行流量控制操作必須具備前臺(tái)管理界面,以便進(jìn)行人機(jī)交互、流量控制策略的下發(fā)、流量識(shí)別結(jié)果的觀察等,并在數(shù)據(jù)庫中存儲(chǔ)檢測(cè)結(jié)果、控制策略信息、協(xié)議特征等,P2P流量監(jiān)控系統(tǒng)整體結(jié)構(gòu)如圖1所示。
P2P流量監(jiān)控系統(tǒng)工作流程:首先對(duì)網(wǎng)絡(luò)應(yīng)用流量數(shù)據(jù)進(jìn)行全面采集,其次是建立協(xié)議特征庫,對(duì)數(shù)據(jù)報(bào)文進(jìn)行離線分析,同時(shí)提取其特征碼,并建立協(xié)議特征庫。然后檢測(cè)網(wǎng)絡(luò)流量,對(duì)經(jīng)過流量監(jiān)控系統(tǒng)的未知流量,通過匹配算法將未知流量特征與協(xié)議規(guī)則相匹配,如匹配成功,則作為該協(xié)議識(shí)別給流量。最后對(duì)已識(shí)別流量進(jìn)行控制操作,完成阻斷訪問、限制流量速率。
3 基于監(jiān)督的機(jī)器學(xué)習(xí)P2P流量識(shí)別算法
基于監(jiān)督的機(jī)器學(xué)習(xí)P2P流量識(shí)別算法需要訓(xùn)練數(shù)據(jù),訓(xùn)練主要有兩步:訓(xùn)練進(jìn)行集中學(xué)習(xí),然后進(jìn)行構(gòu)造分類模型的測(cè)試;采用訓(xùn)練階段模型進(jìn)行未知數(shù)據(jù)的分類,計(jì)算識(shí)別準(zhǔn)確率,令訓(xùn)練集為:
式中:表示輸出類值。
在訓(xùn)練集中,找出輸入和輸出間的關(guān)系函數(shù),這就是分類的目的,通過函數(shù),輸入可輸出得到基于監(jiān)督的機(jī)器學(xué)習(xí)P2P流量識(shí)別分類器如圖2所示。
監(jiān)督學(xué)習(xí)是訓(xùn)練決策樹最常見的技術(shù)之一。這種決策樹技術(shù)對(duì)事先確定分類系統(tǒng)給出的信息高度依賴。對(duì)于決策樹來說,可通過分類系統(tǒng)辨別哪類屬性提供的信息最多,可用決策樹解決分類系統(tǒng)問題。
4 算法設(shè)計(jì)
4.1 C4.5多決策樹分類算法
經(jīng)過數(shù)據(jù)預(yù)處理模塊,訓(xùn)練數(shù)據(jù)集生成決策樹可處理屬性的二維表形式。設(shè)訓(xùn)練數(shù)據(jù)集全部屬性集合為。整個(gè)屬性集PE,分成個(gè)小屬性集,每個(gè)小屬性集各自獨(dú)立。屬性所有不同取值集合為。生成的棵決策樹為,數(shù)據(jù)分類為。表示數(shù)據(jù)集合,集合中第條記錄用表示。表示訓(xùn)練數(shù)據(jù)及測(cè)試數(shù)據(jù),第條記錄用表示。系統(tǒng)分辨矩陣用對(duì)角矩陣表示,每項(xiàng)定義如下:
4.2 P2P流量異常檢測(cè)
P2P流量異常檢測(cè)的實(shí)質(zhì)是通過訓(xùn)練大量數(shù)據(jù),逐步對(duì)錯(cuò)誤進(jìn)行修正,形成精確預(yù)測(cè)模型。決策樹建立完后進(jìn)行數(shù)據(jù)集訓(xùn)練。訓(xùn)練數(shù)據(jù)集為TA,保存經(jīng)過某節(jié)點(diǎn)P2P類訓(xùn)練數(shù)據(jù)的數(shù)量為;保存經(jīng)過該節(jié)點(diǎn)類訓(xùn)練數(shù)據(jù)的數(shù)量為。
4.3 P2P屬性關(guān)鍵度決策樹分類算法
決策樹生成后,經(jīng)訓(xùn)練后,形成檢測(cè)模型,原始TCP/IP數(shù)據(jù)包被從網(wǎng)絡(luò)上截獲,經(jīng)過數(shù)據(jù)預(yù)處理后,TCP/IP數(shù)據(jù)由每棵子決策樹對(duì)其進(jìn)行判斷,對(duì)判斷結(jié)果進(jìn)行加權(quán)處理,得到最優(yōu)結(jié)果。第棵子決策樹用表示,存儲(chǔ)內(nèi)部節(jié)點(diǎn)數(shù)據(jù)訓(xùn)練的P2P類統(tǒng)計(jì)數(shù),存儲(chǔ)內(nèi)部節(jié)點(diǎn)數(shù)據(jù)訓(xùn)練的類統(tǒng)計(jì)數(shù),第棵子決策樹比率用表示,數(shù)據(jù)包在整個(gè)屬性集的比率用表示,關(guān)鍵度多決策樹分類算法流程圖如圖3所示。
根據(jù)屬性差異,可建立棵子決策樹,綜合考慮全部子決策樹屬性對(duì)分類的影響,能對(duì)整個(gè)問題進(jìn)行較好地反映,可使誤報(bào)率降低,檢測(cè)率提高。
5 仿真實(shí)驗(yàn)
本文的實(shí)驗(yàn)數(shù)據(jù)通過試驗(yàn)室仿真試驗(yàn)得到,仿真試驗(yàn)采用的軟件為Sniffer,在實(shí)驗(yàn)室PC(CPU為Athlon64 X2;雙核處理器4000+2.11 GHz;內(nèi)存2 GB)對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行實(shí)時(shí)采集。在訓(xùn)練分類器實(shí)驗(yàn)中,采用定時(shí)定量的P2P流量Data1,Data1數(shù)據(jù)量較小,實(shí)驗(yàn)數(shù)據(jù)集見表1。
在測(cè)試分類器實(shí)驗(yàn)中,采用Data2~Data5對(duì)虛警率、漏警率進(jìn)行嚴(yán)格測(cè)試,實(shí)驗(yàn)數(shù)據(jù)集見表2。
由表2可以看出,選擇網(wǎng)絡(luò)流量特征后,基于改進(jìn)的C4.5決策樹的P2P網(wǎng)絡(luò)流量分類器能實(shí)現(xiàn)較好的分類效果,分類檢測(cè)率在94.6%~96.7%。
6 結(jié) 語
本文以決策樹算法為基礎(chǔ),對(duì)P2P流量檢測(cè)和流量異常時(shí)的檢測(cè)技術(shù)進(jìn)行研究。通過試驗(yàn)室仿真試驗(yàn),選擇網(wǎng)絡(luò)流量特征后,基于改進(jìn)的C4.5決策樹的P2P網(wǎng)絡(luò)流量分類器能實(shí)現(xiàn)較好的分類效果,分類檢測(cè)率在94.6%~96.7%,較高的檢測(cè)率說明采用改進(jìn)的C4.5決策樹算法能有效地對(duì)P2P流量進(jìn)行檢測(cè),為今后研究P2P流量異常檢測(cè)技術(shù)提供了參考。
參考文獻(xiàn)
[1] 柴琦,曹旭東,王洪蕾,等.P2P流量監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)[J].電子設(shè)計(jì)工程,2016,24(11):64?67.
[2] 謝生鋒.基于數(shù)據(jù)挖掘的P2P流量檢測(cè)技術(shù)研究[J].計(jì)算機(jī)與網(wǎng)絡(luò),2015(13):71?73.
[3] 閆佳,應(yīng)凌云,劉海峰,等.結(jié)構(gòu)化對(duì)等網(wǎng)測(cè)量方法研究[J].軟件學(xué)報(bào),2014,25(6):1301?1315.
[4] 王菁菁,林琛,陳珂,等.基于MapReduce的Flash P2P VoD系統(tǒng)異常監(jiān)測(cè)[J].廈門大學(xué)學(xué)報(bào)(自然科學(xué)版),2013,52(4):459?465.
[5] 李建.基于流量的P2P僵尸W絡(luò)檢測(cè)[J].計(jì)算機(jī)時(shí)代,2016(5):45?48.
關(guān)鍵詞:網(wǎng)絡(luò)性能;網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè);簡單網(wǎng)絡(luò)管理協(xié)議;NetFlow
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2008)22-670-03
A Survey and Analysis: Network State Monitoring Technology of Campus Network
ZHU Peng
(Computer Application Department,Research Institute of Petroleum Processing,Beijing 100083,China)
Abstract:The structure of Campus Network is becoming more and more complex together with its applications. New applications appear which are sensitive to network performance. Network state monitoring is becoming more and more important for network users and researchers. The article summarizes significance and analyzes the main theory,technology of network state monitoring.
Key words:network performance; network state monitoring; SNMP; NetFlow
1 園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測(cè)的意義
近年來,隨著各單位計(jì)算機(jī)應(yīng)用水平的整體提高、內(nèi)部園區(qū)網(wǎng)網(wǎng)絡(luò)建設(shè)的日漸完善,以及實(shí)驗(yàn)儀器設(shè)備的網(wǎng)絡(luò)自動(dòng)化程度提高和發(fā)展,越來越多的日常學(xué)習(xí)、工作和科研、實(shí)驗(yàn)活動(dòng)依賴計(jì)算機(jī)和網(wǎng)絡(luò)來開展運(yùn)行,這就要求各單位內(nèi)部的園區(qū)網(wǎng)網(wǎng)絡(luò)環(huán)境有很高的穩(wěn)定性和運(yùn)行效率,并能針對(duì)不同網(wǎng)絡(luò)內(nèi)部科研應(yīng)用需求提供相應(yīng)的網(wǎng)絡(luò)質(zhì)量保障。園區(qū)網(wǎng)連接著各個(gè)計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備及系統(tǒng)設(shè)備、試驗(yàn)裝置、儀器儀表,通過交換信息使之成為一個(gè)高效運(yùn)行的有機(jī)整體,為確保各項(xiàng)依賴園區(qū)網(wǎng)的科研活動(dòng)順利進(jìn)行,必須保障園區(qū)網(wǎng)的正常運(yùn)行和性能穩(wěn)定。
同時(shí),不斷進(jìn)行的信息化建設(shè)使得各項(xiàng)商業(yè)、科研活動(dòng)對(duì)園區(qū)網(wǎng)絡(luò)日漸依賴,這也帶來了新的信息安全隱患,如何保障網(wǎng)絡(luò)與信息系統(tǒng)的安全已經(jīng)成為需要被高度重視的問題。隨著園區(qū)網(wǎng)內(nèi)部網(wǎng)絡(luò)應(yīng)用的迅速發(fā)展,越來越多的攻擊和安全隱患來自于園區(qū)網(wǎng)內(nèi)部,使得傳統(tǒng)的基于網(wǎng)關(guān)的安全架構(gòu)在新一代的攻擊手段面前顯得非常脆弱。而且這些傳統(tǒng)的安全防護(hù)手段多屬于被動(dòng)形式,只能簡單過濾或丟棄攻擊數(shù)據(jù),而無法在攻擊源發(fā)起攻擊時(shí)或之后的較短時(shí)間內(nèi)即時(shí)響應(yīng),將內(nèi)部網(wǎng)絡(luò)中可疑的攻擊源主機(jī)斷開,使其無法通過內(nèi)網(wǎng)連接進(jìn)行攻擊。在這種情況下,主動(dòng)對(duì)園區(qū)網(wǎng)內(nèi)部的網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)控,并根據(jù)網(wǎng)絡(luò)流量異常信息采取相應(yīng)的質(zhì)量控制和防范乃至隔離控制,將可以成為傳統(tǒng)計(jì)算機(jī)安全技術(shù)(如網(wǎng)關(guān)防火墻)的有益補(bǔ)充。
2 園區(qū)網(wǎng)網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)技術(shù)
2.1 網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)概述
網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)是網(wǎng)絡(luò)管理和系統(tǒng)管理的一個(gè)重要組成部分,網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)為園區(qū)網(wǎng)的運(yùn)行和維護(hù)提供了重要信息,這些數(shù)據(jù)對(duì)調(diào)控網(wǎng)絡(luò)資源分布、規(guī)劃網(wǎng)絡(luò)容量、網(wǎng)絡(luò)服務(wù)質(zhì)量分析、網(wǎng)絡(luò)故障檢測(cè)與隔離、網(wǎng)絡(luò)安全管理都非常重要。目前,根據(jù)對(duì)網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)分為:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)、基于SNMP的監(jiān)測(cè)技術(shù)和基于NetFlow的監(jiān)測(cè)技術(shù)三種常用技術(shù)。
2.2 基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)。
網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備,實(shí)現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集。和其它兩種流量采集方式相比,流量鏡像采集的最大特點(diǎn)是能夠提供豐富的應(yīng)用層信息。 但采用端口流量鏡像方式將增加網(wǎng)絡(luò)設(shè)備負(fù)擔(dān),對(duì)網(wǎng)絡(luò)設(shè)備性能的影響較大。而若使用探針等附加設(shè)備實(shí)現(xiàn)流量鏡像,安裝時(shí)對(duì)網(wǎng)絡(luò)影響較大,安裝完成后雖對(duì)網(wǎng)絡(luò)設(shè)備的影響較小,但為網(wǎng)絡(luò)結(jié)構(gòu)增加了新的單點(diǎn)失效點(diǎn),在大型網(wǎng)絡(luò)環(huán)境下,可能會(huì)影響網(wǎng)絡(luò)的穩(wěn)定性。故基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)較少用于園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測(cè)中。
2.3 基于SNMP的流量監(jiān)測(cè)技術(shù)
簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)已經(jīng)成為事實(shí)上的網(wǎng)絡(luò)管理標(biāo)準(zhǔn),得到很大范圍的應(yīng)用。SNMP首先是由Internet工程任務(wù)組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。SNMP是基于TCP/IP協(xié)議的網(wǎng)絡(luò)管理標(biāo)準(zhǔn),它簡單明了,占用系統(tǒng)資源少,已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。SNMP提供了從網(wǎng)絡(luò)設(shè)備收集網(wǎng)絡(luò)管理信息的方法,并為設(shè)備提供了向網(wǎng)絡(luò)管理端報(bào)告故障和錯(cuò)誤的途徑。SNMP是協(xié)議和規(guī)范族,包括MIB(管理對(duì)象信息庫)、SMI(管理信息結(jié)構(gòu))和SNM協(xié)議。同時(shí),SNMP被設(shè)計(jì)成與協(xié)議無關(guān),所以它可以在IP,IPX,AppleTalk,OSI以及其他傳輸協(xié)議上被使用。
基于SNMP的流量信息采集,實(shí)質(zhì)上是通過提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB(管理對(duì)象信息庫)中收集一些與具體設(shè)備及流量信息有關(guān)的變量。基于SNMP收集的網(wǎng)絡(luò)流量信息包括:輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯(cuò)誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯(cuò)誤數(shù)、輸出隊(duì)長等。 基于SNMP的網(wǎng)絡(luò)流量信息采集可以以極小的代價(jià)實(shí)現(xiàn)一定程度的網(wǎng)絡(luò)流量相關(guān)信息的收集,但其收集的信息多是出于網(wǎng)絡(luò)管理的需要,無法提供足夠豐富的網(wǎng)絡(luò)流量信息。利用其實(shí)現(xiàn)網(wǎng)絡(luò)總流量的定期監(jiān)控、觀察網(wǎng)絡(luò)設(shè)備端口的流量和使用狀況可以滿足網(wǎng)絡(luò)管理的基本需求。
SNMP采用‘管理者―’模型來監(jiān)測(cè)各種可管理的網(wǎng)絡(luò)設(shè)備,利用無連接的UDP協(xié)議在管理者和之間進(jìn)行信息的傳遞。圖1勾畫出了SNMP管理者和SNMP間的通信關(guān)系。一個(gè)SNMP管理者可以向SNMP發(fā)送請(qǐng)求,讀取(Get)或設(shè)置(Set)一個(gè)或多個(gè)MIB變量數(shù)值。SNMP可以應(yīng)答這些請(qǐng)求。除了這種交互式通信方式,SNMP還可以主動(dòng)向SNMP管理者發(fā)送通知(Trap或Inform Request)以提示管理者一個(gè)設(shè)備或網(wǎng)絡(luò)的狀態(tài)。
■
圖1 SNMP管理者與SNMP間的通信示意圖
在園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測(cè)中采用SNMP機(jī)制有以下優(yōu)勢(shì):1)可以隨時(shí)隨地收集網(wǎng)絡(luò)流量信息,及時(shí)獲取當(dāng)前園區(qū)網(wǎng)絡(luò)的運(yùn)行情況;2)能夠即時(shí)收集到網(wǎng)絡(luò)中大量設(shè)備的同步流量信息;3)采用方法基于IP層,不受底層網(wǎng)絡(luò)物理類型的限制;4)能夠收集到網(wǎng)絡(luò)設(shè)備自身的工作信息、端口狀態(tài)。并可根據(jù)需要遠(yuǎn)程配置修改網(wǎng)絡(luò)設(shè)備的相關(guān)參數(shù);5)基于SNMP的流量監(jiān)測(cè)所需費(fèi)用較少,對(duì)現(xiàn)有的網(wǎng)絡(luò)性能影響較小,且易于集成到各種網(wǎng)管系統(tǒng)中去。
在此基礎(chǔ)上,如果配合后臺(tái)數(shù)據(jù)庫記錄收集到的網(wǎng)絡(luò)流量、性能數(shù)據(jù),就可以實(shí)現(xiàn)對(duì)整個(gè)園區(qū)網(wǎng)絡(luò)進(jìn)行有效的監(jiān)視,并能在網(wǎng)絡(luò)發(fā)生故障時(shí)及時(shí)發(fā)現(xiàn)并通知相關(guān)人員處理,從而提高網(wǎng)絡(luò)可靠運(yùn)轉(zhuǎn)的時(shí)間,減少因網(wǎng)絡(luò)故障造成的中斷時(shí)間。
2.1.基于NetFlow的流量監(jiān)測(cè)技術(shù)
NetFlow是Cisco公司提出的一項(xiàng)網(wǎng)絡(luò)數(shù)據(jù)流統(tǒng)計(jì)標(biāo)準(zhǔn),利用NetFlow技術(shù),路由器可以輸出流經(jīng)路由的包的統(tǒng)計(jì)信息,從而監(jiān)測(cè)網(wǎng)絡(luò)上的IP 流( IP flow) 。采集到的NetFlow流量信息可以幫助進(jìn)行網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)管理、流量計(jì)費(fèi)和病毒檢測(cè)等等,NetFlow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的NetFlow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集,在此基礎(chǔ)上實(shí)現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡(luò)流量異常監(jiān)測(cè)的需求。它可以實(shí)時(shí)提取大量流量的特征,實(shí)現(xiàn)對(duì)流量的宏觀統(tǒng)計(jì)分析。目前,NetFlow技術(shù)已經(jīng)成為網(wǎng)絡(luò)設(shè)備流量信息采集事實(shí)上的標(biāo)準(zhǔn),一些大型的網(wǎng)絡(luò)設(shè)備廠商均在其主流的路由設(shè)備中實(shí)現(xiàn)了對(duì)NetFlow主要版本的支持。
表1主流廠商網(wǎng)絡(luò)流技術(shù)對(duì)比
■
NetFlow的實(shí)現(xiàn)由路由器、數(shù)據(jù)采集設(shè)備和流量分析工具三部分構(gòu)成,如圖2所示。
路由器啟動(dòng)NetFlow功能,負(fù)責(zé)抓取路由器上發(fā)生的流量信息,當(dāng)Cache表超時(shí)后,網(wǎng)絡(luò)設(shè)備中的NetFlow Agent 將通過規(guī)范的報(bào)文格式將表項(xiàng)數(shù)據(jù)以UDP方式向NetFlow數(shù)據(jù)采集設(shè)備發(fā)送。NetFlow數(shù)據(jù)采集設(shè)備可以是商業(yè)系統(tǒng)或是采用開放源代碼的工作站,它負(fù)責(zé)實(shí)時(shí)處理收到的報(bào)文,提取出流量數(shù)據(jù),進(jìn)行過濾和聚合后記錄在數(shù)據(jù)庫中。NetFlow流量分析工具根據(jù)數(shù)據(jù)采集設(shè)備數(shù)據(jù)庫中記錄的網(wǎng)絡(luò)流量信息進(jìn)行網(wǎng)絡(luò)規(guī)劃、流量計(jì)費(fèi)和各種網(wǎng)絡(luò)管理應(yīng)用,并產(chǎn)生各類報(bào)表等。
■
圖2NetFlow的工作原理示意圖
由于NetFlow技術(shù)所產(chǎn)生的信息詳盡且趨近于即時(shí),可讓網(wǎng)管人員深入地了解數(shù)據(jù)包中的信息,獲得很多網(wǎng)絡(luò)運(yùn)行情況的細(xì)節(jié)。依據(jù)NetFlow信息進(jìn)行網(wǎng)絡(luò)規(guī)劃,將大大提高規(guī)劃的效率,減少盲目性。
(上接第671頁)
在園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測(cè)中采用NetFlow機(jī)制有以下優(yōu)勢(shì):
1) 對(duì)源及目的業(yè)務(wù)端口號(hào)的統(tǒng)計(jì)、分析,可以科學(xué)地估算出各種業(yè)務(wù)在網(wǎng)絡(luò)總流量中所占的比重和在各條鏈路上的分布,對(duì)網(wǎng)絡(luò)業(yè)務(wù)流量進(jìn)行精細(xì)化分析,包括網(wǎng)絡(luò)間數(shù)據(jù)流中各個(gè)具體業(yè)務(wù)的流量及百分比;同時(shí),也可以根據(jù)應(yīng)用層數(shù)據(jù)參數(shù)Protocol、Port、Bytes對(duì)各個(gè)網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行排行,進(jìn)而科學(xué)地預(yù)測(cè)各類業(yè)務(wù)流量的增長規(guī)律。
2) 通過對(duì)整網(wǎng)流量的長期監(jiān)測(cè),可以建立園區(qū)網(wǎng)流量基線,了解網(wǎng)絡(luò)內(nèi)各節(jié)點(diǎn)的即時(shí)與歷史網(wǎng)絡(luò)流量狀態(tài),掌握網(wǎng)絡(luò)應(yīng)用及發(fā)展趨勢(shì),從而提高網(wǎng)絡(luò)的管理維護(hù)能力。
3) 通過統(tǒng)計(jì)分析,我們還可以獲知那些業(yè)務(wù)是目前網(wǎng)絡(luò)上最受歡迎的業(yè)務(wù),進(jìn)而對(duì)相關(guān)網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)的建設(shè)和規(guī)劃提供準(zhǔn)確的基礎(chǔ)數(shù)據(jù);對(duì)于業(yè)務(wù)流量大的端點(diǎn),分析其增長規(guī)律,可以指導(dǎo)對(duì)其合理及時(shí)的擴(kuò)容,從而提高整個(gè)網(wǎng)絡(luò)的運(yùn)行質(zhì)量。
4) 利用NetFlow產(chǎn)生的流量記錄與統(tǒng)計(jì)分析系統(tǒng)配合,還可以記錄網(wǎng)絡(luò)平常在不同時(shí)間的流量或服務(wù)器連接使用情況,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)或某服務(wù)器流量異常,或是服務(wù)器連接情況異常大量增加或減少時(shí),在第一時(shí)間發(fā)出警報(bào),讓網(wǎng)絡(luò)管理員可以立即采取相應(yīng)措施,盡快確定異常流量源地址及目的地址、端口號(hào)等多種信息,針對(duì)不同的情況,分別利用切斷連接、ACL過濾、靜態(tài)空路由過濾、異常流量限定等多種手段,對(duì)異常流量進(jìn)行有效控制、處理,從而在最短時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。這在防范病毒,尤其是蠕蟲或木馬等造成的DoS與DDoS攻擊時(shí)尤為有效。
3 結(jié)束語
當(dāng)前,隨著信息化建設(shè)步伐的加快,各單位都在不斷地建設(shè)和改造內(nèi)部的園區(qū)網(wǎng)絡(luò),園區(qū)網(wǎng)絡(luò)的不斷擴(kuò)展使得網(wǎng)絡(luò)的拓?fù)渥兊迷絹碓綇?fù)雜和不規(guī)則。而網(wǎng)絡(luò)新應(yīng)用的涌現(xiàn)和網(wǎng)絡(luò)用戶的快速增長也使得網(wǎng)絡(luò)流量不斷增大、網(wǎng)絡(luò)應(yīng)用日益復(fù)雜。采用一種或混合使用多種技術(shù)監(jiān)測(cè)園區(qū)網(wǎng)網(wǎng)絡(luò)狀態(tài)的重要性和迫切性越來越突出。園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)研究中一個(gè)重要的課題方向。
參考文獻(xiàn):
[1] Cisco. System , NetFlow Services Solutions Guide[S], 2003.
[2] Stewart A J. Network State Monitoring: A Network Security Assessment Concept[EB/OL]. /papers/nsm/network_state_monitoring.txt, 2000
[3] 陳秀蘭,吳軍華.通用網(wǎng)絡(luò)流量監(jiān)測(cè)報(bào)警系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 微計(jì)算機(jī)應(yīng)用, 2006(4):47-50.
[4] 何豐,靳娜.基于NetFlow的IP網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J] . 通信技術(shù), 2007(8):36-38.
流量可控
云計(jì)算、大數(shù)據(jù)、虛擬化、移動(dòng)化的興起,對(duì)于數(shù)據(jù)中心架構(gòu)尤其是網(wǎng)絡(luò)的管理、分析和安全產(chǎn)生了重大影響。用戶對(duì)于網(wǎng)絡(luò)效率、安全性和可靠性的追求永無止境,而傳統(tǒng)的網(wǎng)絡(luò)管理和監(jiān)控方式則有些捉襟見肘。Gigamon的網(wǎng)絡(luò)流量可視化解決方案采用帶外方式,可以在不影響網(wǎng)絡(luò)本身性能和可靠性的情況下,對(duì)流量進(jìn)行監(jiān)控。
網(wǎng)絡(luò)流量的提取、分類、優(yōu)先級(jí)劃分等并不容易。傳統(tǒng)的流量監(jiān)控和分析往往要通過大規(guī)模添加新的工具和系統(tǒng),或者變更以太網(wǎng)交換機(jī)的用途,或借助鏡像端口復(fù)制流量,以及通過網(wǎng)絡(luò)分路器分拆流量等方式實(shí)現(xiàn)。上述方式通常只借助一臺(tái)交換機(jī)或一個(gè)分路器的有限過濾功能實(shí)現(xiàn),功能和可視化都受到了限制,而且擴(kuò)展和管理難度大,成本高。
能不能通過一種可靠的一體化的設(shè)計(jì)方式,沖破傳統(tǒng)方式在性能、成本和管理方面的局限性,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的有效監(jiān)控與管理呢?正是基于這種考慮,Gigamon推出了流量可視化矩陣(Traffic Visibility Fabric),它采用創(chuàng)新的架構(gòu),可以全方位實(shí)現(xiàn)流量的可視化與控制,提升擴(kuò)展性和吞吐能力,同時(shí)增強(qiáng)網(wǎng)絡(luò)的可靠性,提高網(wǎng)絡(luò)效率并簡化部署和使用。
統(tǒng)一可視化
在網(wǎng)絡(luò)由簡單的、靜態(tài)的逐漸向復(fù)雜的、動(dòng)態(tài)化的方向發(fā)展時(shí),Gigamon流量可視化矩陣的優(yōu)勢(shì)就顯現(xiàn)出來了,它為網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)師、管理員提供了全面的流量可視性,在不影響生產(chǎn)網(wǎng)絡(luò)的性能和穩(wěn)定性的情況下,可以對(duì)通過物理網(wǎng)和虛擬網(wǎng)的流量進(jìn)行監(jiān)控。許多大型企業(yè)、數(shù)據(jù)中心和服務(wù)供應(yīng)商都采用了Gigamon流量可視化矩陣。
在可視化矩陣的基礎(chǔ)上,Gigamon又進(jìn)一步提出了統(tǒng)一可視化結(jié)構(gòu)的理念,它可以提供跨平臺(tái)的流量可視化功能,讓用戶原有的監(jiān)測(cè)工具,可以監(jiān)測(cè)和分析來自物理網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)或軟件定義網(wǎng)絡(luò)的流量,從而提升網(wǎng)絡(luò)流量監(jiān)控的智能化程度。統(tǒng)一可視化結(jié)構(gòu)的好處顯而易見:具有智能化的全面可視性,可以對(duì)遠(yuǎn)程站點(diǎn)提供實(shí)時(shí)、深入的監(jiān)控;實(shí)現(xiàn)集中監(jiān)控,為多種工具和IT部門提供可視性,從而簡化運(yùn)作;減少遠(yuǎn)程站點(diǎn)的維護(hù)人員和監(jiān)測(cè)工具,節(jié)省成本。
精確分發(fā)與智能過濾
流量監(jiān)測(cè)是網(wǎng)絡(luò)管理的基礎(chǔ)。從網(wǎng)絡(luò)體系架構(gòu)來說,網(wǎng)絡(luò)流量是一切研究的基礎(chǔ);它能直接反映網(wǎng)絡(luò)性能的好壞;更能幫助判斷網(wǎng)絡(luò)故障及網(wǎng)絡(luò)安全等狀況。隨著Ineernet重要性的日益提高和網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜.人們經(jīng)常會(huì)遇到網(wǎng)絡(luò)擁塞和服務(wù)質(zhì)量低等一系列問題.越來越有必要對(duì)網(wǎng)絡(luò)的整體拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)行為進(jìn)行深入的了解、分析,以利于發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸,優(yōu)化網(wǎng)絡(luò)配置,并進(jìn)一步發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的潛在危險(xiǎn)。為此。需要對(duì)大規(guī)模網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行動(dòng)態(tài)描述,并根據(jù)網(wǎng)絡(luò)流量的變化分析網(wǎng)絡(luò)的性能,為加強(qiáng)網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)利用率.因此網(wǎng)絡(luò)流量的測(cè)量與分析一直為人們所關(guān)注。
2.課題名稱和課題來源
網(wǎng)絡(luò)測(cè)量技術(shù)始于上世紀(jì)70年代初,發(fā)展于80年代.90年代已漸成體系.在網(wǎng)絡(luò)測(cè)量的方法、工具及流量的測(cè)量模型等方面取得了長足的發(fā)展。美國在1992年開始著手IIltemet特征的研究.其中比較著名的項(xiàng)目有NIMIⅢationalIntemetMea.surementInfrastnlctu商。它是一個(gè)完整的網(wǎng)絡(luò)測(cè)量基礎(chǔ)框架,并且是第一個(gè)執(zhí)行大規(guī)模端到端ntemet行為測(cè)量的軟件.NIMI主要采用主動(dòng)測(cè)量技術(shù).主要目的是要測(cè)量全球的Intemet.致力于建立一個(gè)總體的可擴(kuò)展的網(wǎng)絡(luò)測(cè)量基礎(chǔ)框架.而不是為特定的分析目標(biāo)做一組特定的測(cè)量操作。
網(wǎng)絡(luò)流量簡而言之就是網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量。就象要根據(jù)來往車輛的多少和流向來設(shè)計(jì)道路的寬度和連接方式一樣,根據(jù)網(wǎng)絡(luò)流量設(shè)計(jì)網(wǎng)絡(luò)是十分必要的。在網(wǎng)絡(luò)中不同的位置通過不同的方法采集不同空間粒度和不同時(shí)間粒度下的網(wǎng)絡(luò)流量,并借助于數(shù)理統(tǒng)計(jì)、隨機(jī)過程和時(shí)間序列等數(shù)學(xué)手段針對(duì)預(yù)先所定義的一系列的網(wǎng)絡(luò)流量的相關(guān)屬性對(duì)網(wǎng)絡(luò)流量展開分析與研究,得到網(wǎng)絡(luò)流量的不同屬性在其構(gòu)成、分布、相關(guān)性和變化規(guī)律與趨勢(shì)等方面的特征,簡稱流量測(cè)量;并且所得到的"特征"叫做網(wǎng)絡(luò)流量特征,簡稱流量特征。
網(wǎng)絡(luò)流量貫穿整個(gè)網(wǎng)絡(luò),沒有網(wǎng)絡(luò)流量,網(wǎng)絡(luò)應(yīng)用也就無從存在。如果把TCP/IP協(xié)議棧比作成為網(wǎng)絡(luò)的靈魂,通過網(wǎng)線等連接起來計(jì)算機(jī)、交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備比作成為網(wǎng)絡(luò)的骨架,那么網(wǎng)絡(luò)流量可以看作成是網(wǎng)絡(luò)中流動(dòng)的血液。這樣,對(duì)于研究網(wǎng)絡(luò)的可用性、可靠性和穩(wěn)定性而言,研究網(wǎng)絡(luò)流量顯然是獲得第一手有效參數(shù)的最為直接和最為基礎(chǔ)的手段之一。應(yīng)用各種主要基于硬件或者軟件或者硬軟件相結(jié)合所實(shí)現(xiàn)的流量測(cè)量與分析系統(tǒng),實(shí)現(xiàn)網(wǎng)絡(luò)流量的監(jiān)測(cè),并根據(jù)你的應(yīng)用情況對(duì)網(wǎng)絡(luò)流量進(jìn)行一定的干預(yù),以保證關(guān)鍵性的應(yīng)用。
3.前人在本課題研究領(lǐng)域的成果簡介
流量監(jiān)測(cè)包括測(cè)量工具/系統(tǒng)的部署、流量數(shù)據(jù)的采集(包括數(shù)據(jù)包捕獲、歸并和采樣處理等)、數(shù)據(jù)包的解析和處理(包括協(xié)議解析、按照協(xié)議、流和應(yīng)用等不同聚合層次進(jìn)行聚合表示和流量識(shí)別與分類等)、測(cè)量實(shí)體量化數(shù)值的獲得與統(tǒng)計(jì)分析、流量特征化描述、流量存儲(chǔ)和查詢表示、流量建模等多個(gè)環(huán)節(jié),具有相對(duì)復(fù)雜的處理和分析過程。目前存在有眾多種流量測(cè)量的實(shí)現(xiàn)方法,他們可適用不同的測(cè)量環(huán)境、滿足不同的測(cè)量要求,并且有著不同的實(shí)現(xiàn)方式。概括來看,現(xiàn)有的這些實(shí)現(xiàn)方法大致可以依據(jù)如下幾個(gè)方面進(jìn)行分類:根據(jù)測(cè)量時(shí)所依賴工具的實(shí)現(xiàn)主體是硬件還是軟件,流量測(cè)量可以被分成基于硬件的測(cè)量和基于軟件的測(cè)量兩種。基于硬件的測(cè)量通常需要設(shè)計(jì)和應(yīng)用特定的硬件設(shè)備來對(duì)流量數(shù)據(jù)進(jìn)行采集和分析。如IPMON、OCxMON、InMonsFlowProbe、NavTelIW5000ATMTrafficAnalyzer等,這些硬件設(shè)備通常被稱為流量采集探針(Probe),需要配置有網(wǎng)絡(luò)處理器(NP,NetworkProcessor)或?qū)S玫牧髁坎东@板卡采用串接(in-line)、鏡像(Mirror)或者分光(OpticalTap/Splitter)等方式捕獲被測(cè)量的流量。而基于軟件的測(cè)量一般是指通過普通的商用計(jì)算機(jī)(commoditycomputer)即所完成的流量測(cè)量。這類測(cè)量的主要特點(diǎn)就是被測(cè)流量的采集通常是借助于現(xiàn)有的硬件(如市面上可隨便購買到網(wǎng)絡(luò)接口卡(NIC,NetworkInterfaceCard,如以太網(wǎng)卡(EthernetCard))或者現(xiàn)有的網(wǎng)絡(luò)設(shè)備(如網(wǎng)絡(luò)中已經(jīng)部署且正在工作的服務(wù)器、交換機(jī)和路由器)來完成。
它主要包括兩個(gè)類別:一類是通過對(duì)操作系統(tǒng)內(nèi)核和網(wǎng)絡(luò)協(xié)議棧的增改(由于代碼開放性等的限制,操作系統(tǒng)內(nèi)核和網(wǎng)絡(luò)協(xié)議棧的增改通常是在開源的Linux下進(jìn)行),借助普通的網(wǎng)絡(luò)接口卡(如將普通的以太網(wǎng)卡置于混雜模式(promiscuousmode)并借助于BPF完成對(duì)感興趣數(shù)據(jù)包的過濾)等將一般的商用計(jì)算機(jī)轉(zhuǎn)換成為具有數(shù)據(jù)包捕獲和分析處理能力的流量測(cè)量系統(tǒng)。另一類則是被測(cè)量的流量并非由普通的商用計(jì)算機(jī)直接獲得,而是需要從服務(wù)器、交換機(jī)、路由器等特定的網(wǎng)絡(luò)設(shè)備上經(jīng)過一定處理后導(dǎo)出,然后再由普通的商用計(jì)算機(jī)完成后續(xù)的流量處理和統(tǒng)計(jì)分析等工作。需要說明的是,特定設(shè)備上所導(dǎo)出的流量通常并非是詳細(xì)的網(wǎng)絡(luò)級(jí)的原始數(shù)據(jù)包,而是根據(jù)特定設(shè)備的不同,可能是SNMP/RMON統(tǒng)計(jì)數(shù)據(jù),可能是經(jīng)過聚合處理后的flow數(shù)據(jù),也可能是服務(wù)器日志,等等。不同形式的數(shù)據(jù),對(duì)應(yīng)要求在普通的商用計(jì)算機(jī)上通過不同的程序或軟件實(shí)現(xiàn)相應(yīng)的流量處理和統(tǒng)計(jì)分析功能。
對(duì)于大多數(shù)的網(wǎng)絡(luò)用戶而言,網(wǎng)絡(luò)僅僅是為這些用戶的應(yīng)用,如WEB網(wǎng)頁瀏覽、BT電影下載、QQ聊天程序、Skype網(wǎng)絡(luò)電話、PPLive在線視頻等等,提供連通性的媒介。以TCP/IP協(xié)議棧為基礎(chǔ)和核心的網(wǎng)絡(luò)遵循并實(shí)現(xiàn)了信息隱藏的原則,將具體的用戶級(jí)的網(wǎng)絡(luò)應(yīng)用抽象為底層的數(shù)據(jù)幀/包的發(fā)送和接收,而終端的用戶無需了解網(wǎng)絡(luò)工作的底層細(xì)節(jié)。例如,用戶在Youtube的主頁面上點(diǎn)擊網(wǎng)頁上的超鏈接觀看所感興趣的在線視頻的時(shí)候,他不需要知道和關(guān)心會(huì)有多少個(gè)網(wǎng)絡(luò)數(shù)據(jù)包生成,也無需了解這些數(shù)據(jù)包是如何在網(wǎng)絡(luò)中進(jìn)行路由的、IP協(xié)議是如何完成尋址定位功能的、TCP協(xié)議是如何提供了可靠的端到端的數(shù)據(jù)傳輸功能的、HTTP協(xié)議是如何應(yīng)用超文本表示和描述頁面上不同元素的、Youtube服務(wù)器上FlashMediaServer是如何實(shí)現(xiàn)自動(dòng)位速率選擇和動(dòng)態(tài)緩沖的,等等。用戶關(guān)心的可能僅僅是:他們所想要看到的視頻內(nèi)容是否能夠快速的被呈現(xiàn)出來?視頻內(nèi)容的播放是否能夠一直都很流暢?視頻內(nèi)容是否能夠下載保存到自己的電腦上來?總而言之,用戶所最為關(guān)注的是應(yīng)用,可以為他們帶來更為輕松和簡便的、更為豐富和優(yōu)質(zhì)的網(wǎng)絡(luò)應(yīng)用。然而,對(duì)于網(wǎng)絡(luò)管理人員而言,由數(shù)據(jù)包/幀這一最基本元素所形成的網(wǎng)絡(luò)流量卻是我們應(yīng)該關(guān)注和研究的對(duì)象。這是因?yàn)榫W(wǎng)絡(luò)本身并無任何價(jià)值,其關(guān)鍵在于它所承載的業(yè)務(wù),即人們?nèi)粘K鶓?yīng)用到的網(wǎng)絡(luò)應(yīng)用。而不管哪一方面、什么類型、遵從什么架構(gòu)、應(yīng)用哪種協(xié)議、通過何種方式所實(shí)現(xiàn)的網(wǎng)絡(luò)應(yīng)用都會(huì)產(chǎn)生流量,也必須要產(chǎn)生流量。這些流量會(huì)流經(jīng)作為最終的發(fā)送端和接收端的計(jì)算機(jī)、完成尋址和路由功能的交換機(jī)與路由器、提供安全檢查和防護(hù)的IDS和IPS系統(tǒng)等網(wǎng)絡(luò)設(shè)備。而正是這些具有不同能力和不同功能、處在不同層次和結(jié)構(gòu)上的網(wǎng)絡(luò)設(shè)備憑借各種形式互相連接起來構(gòu)成了整個(gè)網(wǎng)絡(luò)。
4.研究的主要內(nèi)容和方法
(1)利用QoS優(yōu)化技術(shù),按照不同網(wǎng)絡(luò)設(shè)備上不同的網(wǎng)絡(luò)應(yīng)用進(jìn)行網(wǎng)絡(luò)帶寬的分配,通過分類確定流量的優(yōu)先權(quán),并對(duì)較高的優(yōu)先權(quán)提供優(yōu)先服務(wù)。由于行政網(wǎng)段是網(wǎng)路的一個(gè)重要服務(wù)對(duì)象,必須首先保證其服務(wù)質(zhì)量,所以將網(wǎng)路內(nèi)部行政網(wǎng)段流量設(shè)為最高的優(yōu)先級(jí)。
(2)通過交換機(jī)管理設(shè)置,利用VLAN技術(shù),將不同位置上的交換機(jī)和IP地址管理集中在某個(gè)管理網(wǎng)段,把網(wǎng)絡(luò)劃分為若干子網(wǎng),對(duì)訪問管理網(wǎng)段的流量進(jìn)行限制。
(3)利用組播優(yōu)化技術(shù),在網(wǎng)路中的網(wǎng)站上動(dòng)態(tài)的直播、VOD和網(wǎng)絡(luò)電視等均采用組播技術(shù),在網(wǎng)絡(luò)上建立一個(gè)視頻服務(wù)器,點(diǎn)擊視頻等即可觀看。訪問網(wǎng)內(nèi)FTP、VOD和網(wǎng)絡(luò)電視服務(wù)器的多媒體流應(yīng)用流量,此類流量較大,在播放時(shí)段對(duì)多媒體流設(shè)置相應(yīng)的優(yōu)先級(jí)。
5、預(yù)期達(dá)到的目的和應(yīng)用前景
網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化在優(yōu)化過程中應(yīng)盡量減少節(jié)點(diǎn)匯聚,原先的節(jié)點(diǎn)可擴(kuò)展為新匯聚,從核心到匯聚都采用直接邏輯連接,不再設(shè)置中間有源節(jié)點(diǎn)。采用以高速路由交換機(jī)為核心,多層交換機(jī)作為匯聚層,可管理換機(jī)作為接入層的網(wǎng)絡(luò)設(shè)計(jì)。在實(shí)際應(yīng)用中,重要骨干設(shè)備采用雙線路連接到核心設(shè)備上,核心層至匯聚層交換機(jī)也采用雙千兆光纖做鏈路聚合(Trunking)的冗余組網(wǎng)方案,在加大帶寬的同時(shí)冗余了骨干鏈路,然后根據(jù)鏈路的長短來確定使用光纖鏈路,還是使用雙絞線從匯聚層交換機(jī)聯(lián)到接入層交換機(jī),并且接入層設(shè)備采用線路捆綁連接到匯聚層,這樣在設(shè)備或物理鏈路出現(xiàn)故障時(shí)均可自動(dòng)轉(zhuǎn)換,進(jìn)而提高網(wǎng)絡(luò)的帶寬和穩(wěn)定性。
網(wǎng)絡(luò)應(yīng)用優(yōu)化在網(wǎng)絡(luò)應(yīng)用優(yōu)化前,先對(duì)網(wǎng)絡(luò)內(nèi)所有終端全面殺毒,檢測(cè)各種蠕蟲和Ddos的攻擊,實(shí)現(xiàn)網(wǎng)絡(luò)安全,凈化網(wǎng)絡(luò)運(yùn)行環(huán)境。
關(guān)鍵詞:網(wǎng)絡(luò)技術(shù) 網(wǎng)絡(luò)設(shè)備 網(wǎng)絡(luò)性能 網(wǎng)絡(luò)配置
中圖分類號(hào):TP393.0 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2013)07-0071-01
1 引言
網(wǎng)絡(luò)性能從20世紀(jì)80年代逐漸受到重視。網(wǎng)絡(luò)測(cè)量研究大致可劃分為三部分,端到端性能測(cè)量、路由/路由器相關(guān)測(cè)量、應(yīng)用層測(cè)量。
2 網(wǎng)絡(luò)性能測(cè)量方法
網(wǎng)絡(luò)性能測(cè)量作為分析網(wǎng)絡(luò)行為、了解網(wǎng)絡(luò)狀況和定位網(wǎng)絡(luò)故障的有效手段,需要服務(wù)于各種不同目的的測(cè)量要求,根據(jù)獲取數(shù)據(jù)的方式和技術(shù)特征不同可以歸分為兩類:被動(dòng)測(cè)量和主動(dòng)測(cè)量。
2.1 主動(dòng)測(cè)量
主動(dòng)測(cè)量是利用測(cè)量工具,有目的地主動(dòng)產(chǎn)生測(cè)量流量,并再次注入網(wǎng)絡(luò)。主動(dòng)測(cè)量的優(yōu)點(diǎn)是對(duì)測(cè)量過程可控性比較高、靈活、機(jī)動(dòng),易于進(jìn)行端到端的性能測(cè)量;缺點(diǎn)是注入的測(cè)量流量會(huì)改變網(wǎng)絡(luò)本身的運(yùn)行情況,使得測(cè)量的結(jié)果與實(shí)際情況存偏差,并且測(cè)量流量還會(huì)增加網(wǎng)絡(luò)負(fù)擔(dān)。主動(dòng)測(cè)量在性能參數(shù)的測(cè)量中應(yīng)用十分廣泛,目前大多數(shù)測(cè)量系統(tǒng)都涉及到主動(dòng)測(cè)量。主動(dòng)測(cè)量需要發(fā)出測(cè)量數(shù)據(jù)包,通過測(cè)量數(shù)據(jù)包在網(wǎng)絡(luò)中的處理和響應(yīng)結(jié)果獲知網(wǎng)絡(luò)的流量狀態(tài)信息。
2.2 被動(dòng)測(cè)量
被動(dòng)測(cè)量是指在鏈路或設(shè)備(如路由器,防火墻、交換機(jī)等)上對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),觀察和記錄的分組,不注入流量測(cè)量方法。被動(dòng)測(cè)量的優(yōu)點(diǎn)在于理論上它不產(chǎn)生多余流量,不會(huì)增加網(wǎng)絡(luò)負(fù)擔(dān);其缺點(diǎn)在于被動(dòng)測(cè)量基本上是基于對(duì)單個(gè)設(shè)備監(jiān)測(cè),很難對(duì)網(wǎng)絡(luò)端到端的性能進(jìn)行分析,并且可能實(shí)時(shí)采集的數(shù)據(jù)量過大,被動(dòng)測(cè)量非常適合用來進(jìn)行流量測(cè)量。被動(dòng)測(cè)量在網(wǎng)絡(luò)中的某點(diǎn)收集流量信息,如使用路由器或交換機(jī)收集數(shù)據(jù)或者一個(gè)獨(dú)立的設(shè)備被動(dòng)地監(jiān)測(cè)網(wǎng)絡(luò)鏈路流量,它可以完全取消附加流量和Heisenberg效應(yīng)。網(wǎng)絡(luò)流量是采用大小不一的報(bào)文傳送,收集到的數(shù)據(jù)可以進(jìn)行各種流量分析。
3 延時(shí)的測(cè)量分析
目前能夠進(jìn)行雙向延時(shí)測(cè)量的工具很多,常見的測(cè)試工具有scantools、NetMedic、Internet Anywhere Toolkit等,其中典型延時(shí)應(yīng)用“Ping”命令。Ping是基于ICMP請(qǐng)求應(yīng)答的應(yīng)用軟件,Ping發(fā)送ICMP的請(qǐng)求回應(yīng)數(shù)據(jù),當(dāng)接收方收到該報(bào)文后,會(huì)返回一個(gè)回應(yīng)數(shù)據(jù),這樣發(fā)送方收到反饋數(shù)據(jù)后就可以計(jì)算出網(wǎng)絡(luò)的傳輸延時(shí)。設(shè)在局域網(wǎng)內(nèi),通過改變數(shù)據(jù)包大小對(duì)網(wǎng)內(nèi)核心交換機(jī)進(jìn)行撥打測(cè)試,包的大小從100B字節(jié)增至1000B字節(jié),增長步長設(shè)為100B字節(jié),每次測(cè)試32個(gè)包,若網(wǎng)絡(luò)比較忙,也可以采用128個(gè)數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)。
4 流量的測(cè)量分析
從網(wǎng)絡(luò)體系架構(gòu)來說,網(wǎng)絡(luò)流量是一切研究的基礎(chǔ)。所有的網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)本身的行為特點(diǎn),都可以通過對(duì)網(wǎng)絡(luò)流量測(cè)量數(shù)據(jù)的分析來獲得。目前,流量測(cè)量分析模式基本上有三種:一種是專門使用一臺(tái)計(jì)算機(jī)在網(wǎng)絡(luò)中偵聽,另一種方法是直接從網(wǎng)絡(luò)對(duì)象獲取數(shù)據(jù)。網(wǎng)絡(luò)流量可以反映網(wǎng)絡(luò)性能的好壞,如果網(wǎng)絡(luò)所接受的流量超過它實(shí)際的運(yùn)載能力,就會(huì)引起網(wǎng)絡(luò)性能大幅下降。為了使網(wǎng)絡(luò)性能得到進(jìn)一步的改善,必須得對(duì)網(wǎng)絡(luò)流量進(jìn)行測(cè)量。并根據(jù)最終分析結(jié)果,對(duì)網(wǎng)絡(luò)流量實(shí)施有效的控制,改進(jìn)和優(yōu)化網(wǎng)絡(luò)性能。通過觀察一周流量變化情況,得出一周中相鄰的各天流量的大小和變化具有明顯的自相似性,當(dāng)高峰期出現(xiàn)擁塞現(xiàn)象時(shí),可采取適當(dāng)限制措施,如限制端口速度,或?qū)2P應(yīng)用限速等,常用的辦法是限制每個(gè)交換機(jī)端口的速率,分時(shí)段控制或者總流量限制。
5 網(wǎng)絡(luò)優(yōu)化
網(wǎng)絡(luò)優(yōu)化是指根據(jù)對(duì)網(wǎng)絡(luò)性能測(cè)量數(shù)據(jù)的分析,找出影響網(wǎng)絡(luò)性能的因素,通過采取技術(shù)手段,從而使網(wǎng)絡(luò)達(dá)到最佳狀態(tài),使網(wǎng)絡(luò)資源獲得最佳使用效率。在進(jìn)行網(wǎng)絡(luò)優(yōu)化時(shí),應(yīng)結(jié)合網(wǎng)絡(luò)的實(shí)際狀況,利用已有網(wǎng)絡(luò)設(shè)備支持的相關(guān)協(xié)議和標(biāo)準(zhǔn)。
5.1 網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化
在優(yōu)化過程中應(yīng)盡量減少節(jié)點(diǎn)匯聚,將匯聚層直接設(shè)置內(nèi)部,原先的節(jié)點(diǎn)可擴(kuò)展為新匯聚,從核心到匯聚都采用直接邏輯連接,不再設(shè)置中間有源節(jié)點(diǎn)。采用以高速路由交換機(jī)為核心,多層交換機(jī)作為匯聚層,可管理換機(jī)作為接入層的網(wǎng)絡(luò)設(shè)計(jì)。重要骨干設(shè)備采用雙線路連接到核心設(shè)備上,核心層至匯聚層交換機(jī)也采用雙千兆光纖做鏈路聚合(Trunking)的冗余組網(wǎng)方案,在加大帶寬的同時(shí)冗余了骨干鏈路,然后根據(jù)鏈路的長短來確定使用光纖鏈路,還是使用雙絞線從匯聚層交換機(jī)聯(lián)到接入層交換機(jī),并且接入層設(shè)備采用線路捆綁連接到匯聚層。
5.2 網(wǎng)絡(luò)應(yīng)用優(yōu)化
在網(wǎng)絡(luò)應(yīng)用優(yōu)化前,先對(duì)內(nèi)網(wǎng)所有終端全面殺毒,檢測(cè)各種掃描、蠕蟲和Ddos的攻擊。
(1)利用QoS優(yōu)化技術(shù),按照不同網(wǎng)絡(luò)設(shè)備上不同網(wǎng)絡(luò)應(yīng)用進(jìn)行網(wǎng)絡(luò)帶寬的分配,通過分類確定流量優(yōu)先權(quán),并對(duì)較高的優(yōu)先權(quán)提供最好的性能服務(wù)。由于學(xué)校辦公網(wǎng)段是校園網(wǎng)的一個(gè)重要服務(wù)對(duì)象,必須首先保證其服務(wù)質(zhì)量。(2)通過交換機(jī)管理設(shè)置,利用VLAN技術(shù),將不同位置上的交換機(jī)和IP地址管理集中在某個(gè)管理網(wǎng)段,把網(wǎng)絡(luò)劃分為若干子網(wǎng),對(duì)訪問管理網(wǎng)段的流量進(jìn)行限制。(3)利用組播優(yōu)化技術(shù),在校園網(wǎng)中的遠(yuǎn)程教學(xué)網(wǎng)站上動(dòng)態(tài)的直播課堂、VOD和網(wǎng)絡(luò)電視等均采用組播技術(shù),在網(wǎng)絡(luò)上建立一個(gè)視頻服務(wù)器,點(diǎn)擊視頻等即可觀看。
6 結(jié)語
通過優(yōu)化,數(shù)據(jù)傳輸成功率得到提升,當(dāng)發(fā)包和收包的數(shù)相同時(shí),響應(yīng)時(shí)間明顯降低。經(jīng)過優(yōu)化以后,對(duì)教學(xué)應(yīng)用中比較廣泛的網(wǎng)頁和視頻等進(jìn)行重新測(cè)量,應(yīng)用效果明顯得到改善。
參考文獻(xiàn)
[1]王海濤,付鷹.網(wǎng)絡(luò)測(cè)量方法和關(guān)鍵技術(shù)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化,2010年07期.
[2]蔣序平,陳鳴,趙金.網(wǎng)絡(luò)測(cè)量系統(tǒng)研究中亟待解決的若干問題[J].電信科學(xué).2003年08期.
關(guān)鍵詞:網(wǎng)絡(luò)安全,流量監(jiān)控,數(shù)據(jù)備份,遠(yuǎn)程同步
1.引言
在互聯(lián)網(wǎng)飛速發(fā)展的今天, 越來越多的公司關(guān)和企事業(yè)單位擁有了自己的網(wǎng)站。 網(wǎng)站不但是信息傳播的工具, 也是非常好的商業(yè)運(yùn)營方式。但由于互聯(lián)網(wǎng)在安全方面的脆弱性,以及黑客對(duì)網(wǎng)站的攻擊,使得網(wǎng)站的運(yùn)行安全是我們?cè)O(shè)計(jì)網(wǎng)站時(shí)需要解決的問題。網(wǎng)站的安全不應(yīng)僅依賴于防火墻和入侵檢測(cè), 也需要使用對(duì)網(wǎng)站的監(jiān)控和恢復(fù)技術(shù),力爭(zhēng)使損失達(dá)到最小。而一些大型網(wǎng)站更是會(huì)在很多不同的地點(diǎn)建立分站點(diǎn),一方面能提高用戶的訪問速度,分擔(dān)負(fù)載,另一方面也是為了使得各分站的數(shù)據(jù)能夠?qū)崿F(xiàn)同步傳輸,防止因?yàn)楦鞣N原因造成的數(shù)據(jù)丟失所產(chǎn)生的損失。本文正是基于此目的,以12530網(wǎng)站系統(tǒng)為基本構(gòu)架 ,Linux為操作系統(tǒng) ,規(guī)劃配置出一套能夠?qū)W(wǎng)站日常的運(yùn)行進(jìn)行監(jiān)控與保護(hù)的相對(duì)安全的網(wǎng)絡(luò)系統(tǒng)的方案。
2.網(wǎng)頁監(jiān)控和保護(hù)系統(tǒng)基本構(gòu)架
如圖1 所示 ,在本次12530網(wǎng)站建設(shè)中,我們將網(wǎng)站監(jiān)控和保護(hù)系統(tǒng)基本構(gòu)架設(shè)計(jì)成主要的三部分:(1)網(wǎng)絡(luò)服務(wù)器。系統(tǒng)的主控臺(tái) , 擁有良好的人機(jī)界面 ,對(duì)靜態(tài)網(wǎng)頁和動(dòng)態(tài)腳本進(jìn)行校驗(yàn)。(2)備份服務(wù)器。對(duì)靜態(tài)頁面、動(dòng)態(tài)腳本、靜態(tài)網(wǎng)頁和動(dòng)態(tài)腳本的校驗(yàn)值及數(shù)據(jù)庫數(shù)據(jù)進(jìn)行備份。(3)Rsync-server服務(wù)器。將產(chǎn)生的數(shù)據(jù)與其他分站進(jìn)行遠(yuǎn)程雙向同步。
圖1 網(wǎng)頁監(jiān)控和保護(hù)系統(tǒng)基本組成
3.實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)控與異常報(bào)警
隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,容量不斷增加,新的應(yīng)用不斷出現(xiàn),網(wǎng)絡(luò)環(huán)境變得更加復(fù)雜、多變和異構(gòu),對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控與分析已成為對(duì)網(wǎng)絡(luò)行為分析的主要可行途徑。通過對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行流量監(jiān)測(cè),獲得網(wǎng)絡(luò)設(shè)備及骨干網(wǎng)每時(shí)每刻的流量數(shù)據(jù),并對(duì)其進(jìn)行分析和研究,才能發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)運(yùn)行的規(guī)律,不斷提高網(wǎng)絡(luò)安全性能。目前在世界各地有許多公司和學(xué)術(shù)團(tuán)體 , 根據(jù)不同的計(jì)算機(jī)系統(tǒng)與需要開發(fā)出不同的網(wǎng)絡(luò)流量監(jiān)控工具如Cacti, Sniffer Pro, ROM II, NetDetector,Netxray等相關(guān)軟件。表1 列出了五種流量采集工具的主要性能比較。
關(guān)鍵詞:流量檢測(cè);DPI;VoIP
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2013)27-6094-05
隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)已經(jīng)成為人們生活中不可分割的組成部分,通過網(wǎng)絡(luò)人們的工作、生活都變得便捷,欣欣向榮的寬帶業(yè)務(wù),給運(yùn)營商帶來機(jī)遇的同時(shí)也帶來了挑戰(zhàn)。大量非法VOIP運(yùn)營充斥著正規(guī)電信市場(chǎng),導(dǎo)致合法運(yùn)營商話務(wù)量流失,利潤減少。造成這些結(jié)果的主要原因是運(yùn)營商對(duì)網(wǎng)絡(luò)流量缺少一個(gè)有效的技術(shù)監(jiān)管方案,對(duì)網(wǎng)絡(luò)上的流量沒有進(jìn)行有效的分析。技術(shù)的進(jìn)步是由市場(chǎng)的需求推動(dòng)的,在這種情況下,深度包檢測(cè)技術(shù)(DPI)就隨后產(chǎn)生了,DPI是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)。
本文研究的目的就是提出一種基于深度包檢測(cè)技術(shù)的網(wǎng)絡(luò)流量識(shí)別方案,并在此基礎(chǔ)上實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)流量識(shí)別系統(tǒng),該系統(tǒng)可以滿足對(duì)網(wǎng)絡(luò)中各種流量的識(shí)別和記錄。
1 VoIP協(xié)議簡介
自從1995年以色列的VocalTec公司開發(fā)出了世界上第一個(gè)可以實(shí)時(shí)通話的軟件“Internet Phone”后,VoIP技術(shù)經(jīng)過十幾年的快速發(fā)展,這項(xiàng)技術(shù)已經(jīng)得到了廣泛的應(yīng)用。在網(wǎng)絡(luò)上出現(xiàn)了大量的VoIP軟件,例如騰訊QQ、YY語音、Skype、MSN、KC網(wǎng)絡(luò)電話、UUCall網(wǎng)絡(luò)電話等。當(dāng)前大部分VoIP軟件的呼叫控制協(xié)議都遵循H.323協(xié)議和SIP協(xié)議。例如:SIP通話主要包括3個(gè)過程:終端注冊(cè)過程、呼叫建立過程和呼叫釋放過程。檢測(cè)過程為,首先采集用戶的流量,分析流量中的信令流,采集SIP發(fā)送方的呼叫建立信令信息和響應(yīng)方的同意建立通話信令信息,就可以通過這些信令信息分析是否有用戶在使用或者提供基于SIP協(xié)議的VoIP服務(wù)。采集呼叫釋放的信令就可以知道用戶是否已經(jīng)結(jié)束通話。H.323協(xié)議的檢測(cè)過程和SIP協(xié)議類似。主流的VoIP軟件的通話的網(wǎng)絡(luò)流量都可以通過這種方法被檢測(cè)出來是否屬于VoIP協(xié)議。但是,這種檢測(cè)方法在現(xiàn)在的環(huán)境下已經(jīng)不具有普遍性。為了逃避監(jiān)管部門的監(jiān)管,一些非法經(jīng)營者經(jīng)常會(huì)采取一些改變協(xié)議的方式來逃避管控,如改變標(biāo)準(zhǔn)通信端口、修改協(xié)議內(nèi)容或制定私有協(xié)議等。這就使通過SIP協(xié)議和H.323協(xié)議的檢測(cè)方法不能檢測(cè)出非標(biāo)準(zhǔn)和私有協(xié)議的VoIP業(yè)務(wù),這就需要通過系統(tǒng)抓包分析,分析出VoIP協(xié)議特征之后就可以實(shí)現(xiàn)對(duì)該標(biāo)準(zhǔn)協(xié)議的監(jiān)測(cè)?,F(xiàn)在DPI檢測(cè)技術(shù)的出現(xiàn)可以實(shí)現(xiàn)對(duì)各種標(biāo)準(zhǔn)和非標(biāo)準(zhǔn)VoIP業(yè)務(wù)的檢測(cè)。
2 VoIP流量檢測(cè)技術(shù)
2.1 端口檢測(cè)法
大多數(shù)早期的VoIP應(yīng)用程序使用的都是固定端口號(hào),比如:
1) RTSP服務(wù)器的缺省端口是554;
2) RTP/UDP/16384-32768;
3)H.323協(xié)議棧需使用的端口號(hào):RAS/UDP/1719;H225.0/TCP/1720;H245/TCP/1800-1820;
這種檢測(cè)方法需要在網(wǎng)絡(luò)中收集數(shù)據(jù)流量并進(jìn)行分組,然后檢查報(bào)文的運(yùn)輸層首部信息,將端口信息和特定的協(xié)議的端口進(jìn)行匹配。如果匹配上,就可以證明該分流量即為VoIP類流量,便可以按照識(shí)別的結(jié)果對(duì)VoIP流量進(jìn)行管理控制。
這種檢測(cè)方法的優(yōu)點(diǎn)是簡單和識(shí)別效率高,但是隨著VoIP應(yīng)用技術(shù)的快速發(fā)展,一些VoIP應(yīng)用改變了端口信息,這種方法開始變得不再普遍適用,但是針對(duì)一些特殊的VoIP協(xié)議還存在一定的適用性。這就需要更具有普遍性的DPI檢測(cè)技術(shù)。
2.2 基于深度報(bào)文的流量檢測(cè)技術(shù)
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,一種檢測(cè)性能更加強(qiáng)大的檢測(cè)技術(shù)DPI技術(shù)出現(xiàn)了。DPI全稱為“Deep Packet Inspection”,稱為“深度包檢測(cè)”。所謂“深度”是和普通的報(bào)文分析層次相比較而言的,“普通報(bào)文檢測(cè)"僅分析IP包的層4以下的內(nèi)容,包括源地址、目的地址、源端口、目的端口以及協(xié)議類型,而DPI除了對(duì)前面的層次分析外,還增加了應(yīng)用層分析,就是通過對(duì)應(yīng)用流中的數(shù)據(jù)報(bào)文內(nèi)容進(jìn)行探測(cè),從而確定數(shù)據(jù)報(bào)文的真正應(yīng)用。DPI的識(shí)別技術(shù)可以分為以下幾大類:
1) 基于“特征字"的識(shí)別技術(shù)
基于“特征字"的識(shí)別技術(shù)這是一種簡單而又高效的網(wǎng)絡(luò)流量檢測(cè)技術(shù)。不同網(wǎng)絡(luò)應(yīng)用的協(xié)議都有獨(dú)特的特征,這些特征一般被稱為“特征字”。該檢測(cè)技術(shù)就是通過模式匹配算法(Pattern-Matching)對(duì)數(shù)據(jù)流中數(shù)據(jù)負(fù)載部分的“特征字”進(jìn)行匹配,然后識(shí)別出某種網(wǎng)絡(luò)流量。只要通過對(duì)這些“特征字"信息的不斷更新升級(jí),該檢測(cè)技術(shù)就會(huì)很方便有效地實(shí)現(xiàn)對(duì)各種協(xié)議(包括新出現(xiàn)協(xié)議的檢測(cè)識(shí)別)的檢測(cè)識(shí)別。
基于VoIP協(xié)議的應(yīng)用軟件有很多,而且也很優(yōu)秀。每種應(yīng)用層協(xié)議和軟件都在應(yīng)用層數(shù)據(jù)中有它標(biāo)志性的特征,其中,有些特征是比較容易發(fā)現(xiàn)的,把各種應(yīng)用層協(xié)議和軟件已經(jīng)發(fā)現(xiàn)并且驗(yàn)證的“特征字”用一定的格式集中統(tǒng)一放在一個(gè)文件當(dāng)中,就形成了DPI特征庫。表1是常見部分應(yīng)用層協(xié)議的“特征字”信息。
2) 應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)
一些業(yè)務(wù)的控制流和業(yè)務(wù)流是分離的,業(yè)務(wù)流不包含任何有效的特征。在這種情況下,我們就應(yīng)該采用應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)。應(yīng)用層網(wǎng)關(guān)需要首先識(shí)別出控制流,并根據(jù)控制流的協(xié)議通過某種特定的應(yīng)用層網(wǎng)關(guān)對(duì)其進(jìn)行分析,從它的協(xié)議內(nèi)容中識(shí)別出相對(duì)應(yīng)的業(yè)務(wù)流。對(duì)于每一種協(xié)議,都需要有不一樣的應(yīng)用層網(wǎng)關(guān)對(duì)其進(jìn)行解析。例如SIP、H.323協(xié)議都屬于該種類型。SIP/H.323協(xié)議通過信令交互過程,協(xié)商從而得到其數(shù)據(jù)通道進(jìn)行通信,通常是RTP格式封裝的語音流。換句話說,僅僅檢測(cè)RTP流并不能得出這條RTP流是屬于哪種協(xié)議。只有通過檢測(cè)SIP/H.323的協(xié)議交互,然后對(duì)其中的信令信息的通信特征進(jìn)行分析,才能得出它完整的結(jié)果。
3) 行為模式識(shí)別技術(shù)
行為模式識(shí)別技術(shù)基于對(duì)終端已經(jīng)執(zhí)行的行為的分析,從而判斷出用戶正在執(zhí)行的動(dòng)作或者將要實(shí)施的動(dòng)作。行為模式識(shí)別技術(shù)一般用于無法通過協(xié)議判斷分析的業(yè)務(wù)的識(shí)別。例如:垃圾郵件(SPAM)業(yè)務(wù)流和普通的電子郵件(Email)業(yè)務(wù)流從電子郵件(Email)的內(nèi)容上看是完全一致的,只有通過對(duì)用戶行為的分析,才能較為準(zhǔn)確的判斷出是否為垃圾郵件,從而識(shí)別出SPAM業(yè)務(wù)。
(1)優(yōu)點(diǎn):檢測(cè)準(zhǔn)確率比基于端口和流量模式的方法高,端口的變化不會(huì)影響檢測(cè)率。能夠檢測(cè)使用最廣泛的應(yīng)用,適合流量的精確檢測(cè)。
(2) 缺點(diǎn):無法識(shí)別新出現(xiàn)的和經(jīng)過加密的應(yīng)用,對(duì)無法識(shí)別的應(yīng)用會(huì)出現(xiàn)漏判。協(xié)議分析和特征搜尋需要投入大量的人力及時(shí)間,難以獲取加密協(xié)議的特征,特征的選擇對(duì)檢測(cè)性能有很大影響。系統(tǒng)檢測(cè)模塊需要不定期地進(jìn)行更新和升級(jí),查看應(yīng)用層的內(nèi)容會(huì)涉及到隱私的問題,對(duì)檢測(cè)設(shè)備的處理能力要求較高。
3 DPI系統(tǒng)工作原理概述
3.1 基于VOIP的DPI系統(tǒng)設(shè)計(jì)
系統(tǒng)對(duì)經(jīng)過網(wǎng)絡(luò)分光/鏡像的數(shù)據(jù)報(bào)文,拆包并標(biāo)記頭指針,然后將經(jīng)過預(yù)處理的報(bào)文送到協(xié)議識(shí)別引擎進(jìn)行匹配識(shí)別,最后返回識(shí)別結(jié)果。整個(gè)DPI系統(tǒng)的工作流程如圖2所示。
第一步:對(duì)抓取的數(shù)據(jù)包進(jìn)行分流,首先檢查入口條件:入口條件通常包括關(guān)聯(lián)表中的條件,數(shù)據(jù)包的長度,特征字,IP地址,端口號(hào)。如果符合條件則進(jìn)入第二步,不符合條件則進(jìn)入第三步進(jìn)行識(shí)別處理。
第二步:如果滿足上面的入口條件,就會(huì)進(jìn)入與它相對(duì)應(yīng)的協(xié)議識(shí)別方法中去,這些方法通常為代碼識(shí)別,需要對(duì)報(bào)文當(dāng)中一段特殊的代碼進(jìn)行一系列的特殊處理以及判定。例如應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù),在通過特征庫的識(shí)別成信令流之后,就會(huì)需要交給與之對(duì)應(yīng)的代碼字段,通過使用正則表達(dá)式等匹配算法找出信令流的負(fù)載內(nèi)容當(dāng)中的交互的信息,然后將這個(gè)信息存入關(guān)聯(lián)表當(dāng)中,如果后續(xù)的流量符合這個(gè)關(guān)聯(lián)表當(dāng)中的內(nèi)容,
就可以判定為所對(duì)應(yīng)信令流命中的協(xié)議。
第三步:若沒有命中入口條件,就需要通過與特征庫當(dāng)中的規(guī)則進(jìn)行模式匹配處理,如果與之匹配成功,就需要檢查此協(xié)議是否打開了懷疑功能,如果打開了懷疑功能,則就需要繼續(xù)進(jìn)行檢查,否則返回識(shí)別的結(jié)果。如果沒有命征庫當(dāng)中的規(guī)則,則需要繼續(xù)檢查這條流的下一個(gè)數(shù)據(jù)包,直到達(dá)到了系統(tǒng)能夠檢查的數(shù)據(jù)包個(gè)數(shù)的限度。若到最后都沒有命中任何規(guī)則,則返回的結(jié)果為unknown。
從上面整個(gè)DPI系統(tǒng)對(duì)于如VoIP類數(shù)據(jù)報(bào)文的處理工作原理可以看出,整個(gè)系統(tǒng)中最為核心的一個(gè)組成部分就是其中的流量識(shí)別模塊的設(shè)計(jì)。該部分的好壞直接影響整個(gè)DPI系統(tǒng)工作的效率。
3.2 流量識(shí)別模塊
VOIP應(yīng)用軟件的流量識(shí)別是由DPI識(shí)別模塊來實(shí)現(xiàn)的。該模塊包含協(xié)議識(shí)別引擎程序和DPI特征庫兩部分。圖1是基于DPI的流量識(shí)別系統(tǒng)工作原理圖。
從上圖中可以看出,網(wǎng)絡(luò)流量經(jīng)過處理后送入DPI識(shí)別模塊,DPI模塊將識(shí)別出的流量交給后續(xù)處理,DPI識(shí)別模塊通過特征庫升級(jí)系統(tǒng)并與遠(yuǎn)程升級(jí)服務(wù)器連接進(jìn)行升級(jí)DPI特征庫,并保持定期升級(jí)特征庫。
具體的處理方式如下描述:
網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)入預(yù)處理模塊,每當(dāng)一個(gè)網(wǎng)絡(luò)報(bào)文通過流量識(shí)別模塊,就會(huì)先將每一個(gè)報(bào)文放入內(nèi)存當(dāng)中進(jìn)行排序,每次從緩存隊(duì)列中取出報(bào)文進(jìn)行分析。在流節(jié)點(diǎn)鏈表中查找是否有這個(gè)報(bào)文對(duì)應(yīng)的流節(jié)點(diǎn),若沒有的話就為該報(bào)文創(chuàng)建一個(gè)流節(jié)點(diǎn),如果有的話,就需要根據(jù)這個(gè)流節(jié)點(diǎn)的狀態(tài)來決定該流是否需要繼續(xù)進(jìn)行識(shí)別。流節(jié)點(diǎn)的狀態(tài)有OK,Continue和Unknown。若流節(jié)點(diǎn)的狀態(tài)為OK或者Unknown,就需要釋放這個(gè)報(bào)文所占用的資源,如果是Continue就把該報(bào)文放入等待處理的隊(duì)列,然后送給協(xié)議識(shí)別引擎進(jìn)行下一步的識(shí)別。需要被繼續(xù)進(jìn)行識(shí)別的數(shù)據(jù)報(bào)文傳給協(xié)議識(shí)別引擎,協(xié)議引擎識(shí)別完后返回識(shí)別結(jié)果,如果能夠匹配成功,則返回協(xié)議類型,釋放這個(gè)報(bào)文所占用的空間并把該報(bào)文所在的流節(jié)點(diǎn)的狀態(tài)改寫為OK。若所屬的數(shù)據(jù)流還需要繼續(xù)進(jìn)行識(shí)別,釋放該報(bào)文所占的空間并且把該報(bào)文所屬的流節(jié)點(diǎn)狀態(tài)修改為Continue。如果判斷報(bào)文所屬的數(shù)據(jù)流已經(jīng)確定為無法識(shí)別,則把對(duì)應(yīng)的流節(jié)點(diǎn)狀態(tài)寫為Unknown,并且釋放報(bào)文所占用的內(nèi)存空間。
4 系統(tǒng)測(cè)試及結(jié)果分析
為了驗(yàn)證DPI系統(tǒng)對(duì)于VOIP類應(yīng)用軟件的監(jiān)控和識(shí)別,該文通過設(shè)計(jì)一個(gè)基于DPI系統(tǒng)的拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)如圖3所示的實(shí)驗(yàn),實(shí)驗(yàn)設(shè)備包括有模擬公司或者集體的內(nèi)部網(wǎng)絡(luò)用戶網(wǎng)絡(luò),加載有DPI系統(tǒng)配置的設(shè)備處于內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)之間。經(jīng)過內(nèi)部網(wǎng)絡(luò)用戶連接該DPI識(shí)別系統(tǒng)然后獲取網(wǎng)上資源。
在通過網(wǎng)絡(luò)流量監(jiān)測(cè)網(wǎng)關(guān)上網(wǎng)的PC上分別用QQ、YY、MSN、Skype等VoIP軟件進(jìn)行通話,并且同時(shí)使用wireshark軟件抓取網(wǎng)絡(luò)流量包。然后把使用這些語音通話的網(wǎng)絡(luò)流量包跑識(shí)別率。大部分常用VoIP應(yīng)用軟件的識(shí)別率都在85%以上,漏報(bào)率在5%以下,誤報(bào)率很少。在某實(shí)驗(yàn)室里對(duì)幾種常用的VoIP軟件進(jìn)行抓包跑識(shí)別率,經(jīng)過測(cè)試統(tǒng)計(jì),得出表2中的幾種常用的VoIP網(wǎng)絡(luò)應(yīng)用軟件的檢測(cè)結(jié)果。
5 結(jié)束語
本文對(duì)運(yùn)用DPI技術(shù)進(jìn)行VoIP流量監(jiān)測(cè)進(jìn)行了深入的研究,在此基礎(chǔ)上設(shè)計(jì)出一個(gè)流量監(jiān)控系統(tǒng),并對(duì)VoIP流量監(jiān)測(cè)的準(zhǔn)確性進(jìn)行了驗(yàn)證。這個(gè)系統(tǒng)對(duì)VoIP流量的識(shí)別率達(dá)到85%以上,誤報(bào)率很低。測(cè)試結(jié)果表明,該實(shí)現(xiàn)對(duì)VoIP流量的識(shí)別很有效果。這個(gè)系統(tǒng)可以對(duì)檢測(cè)出正規(guī)和非法的VoIP流量,可以對(duì)非法的VoIP流量進(jìn)行識(shí)別記錄和管理,這對(duì)監(jiān)管VoIP運(yùn)營市場(chǎng)有很大的幫助,也有利于該市場(chǎng)的健康發(fā)展。
參考文獻(xiàn):
[1] Sen. S, Wang Jia. Analyzing Peer-to-Peer Traffic across Large Networks[C].IEEE/ACM Transactions on Net2 working. NJ: IEEE Press, 2004: 219-23.
[2] Elisa Bertino, Elena Ferran and Allna Squieeiarini, Trust Negotiations: Concepts, Systems, and Language[C].P27-34, July/August, 2004, IEEE.
[3] 韓耀明.基于DPI技術(shù)的VoIP流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2010.
[4] 米淑云.IP網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)的研究與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2009.
[5] 聶瑞華,黃偉強(qiáng),吳仕毅,羅輝瓊.基于DPI技術(shù)的校園網(wǎng)絡(luò)帶寬管理[J].計(jì)算機(jī)技術(shù)與發(fā)展,2009.
[6] 匡琳.P2P網(wǎng)絡(luò)流量監(jiān)控技術(shù)探討[J].科技廣場(chǎng),2008.
關(guān)鍵詞:SNMP;RRDTOOL;CACTI;流量監(jiān)控
1引言
隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和各種網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的普及,用戶對(duì)網(wǎng)絡(luò)資源的需求不斷增長,網(wǎng)絡(luò)已成為人們?nèi)粘9ぷ魃钪胁豢苫蛉钡男畔⒊休d工具,同時(shí)人們對(duì)網(wǎng)絡(luò)性能的要求也越高,在眾多影響網(wǎng)絡(luò)性能的因素中網(wǎng)絡(luò)流量是最為重要的因素之一,它包含了用戶利用網(wǎng)絡(luò)進(jìn)行活動(dòng)的所有的信息。通過對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)分析,可以為網(wǎng)絡(luò)的運(yùn)行和維護(hù)提供重要信息,對(duì)于網(wǎng)絡(luò)性能分析、異常監(jiān)測(cè)、鏈路狀態(tài)監(jiān)測(cè)、容量規(guī)劃等發(fā)揮著重要作用。
SNMP(簡單網(wǎng)絡(luò)維護(hù)管理協(xié)議)是Internet工程任務(wù)組(IETF)在SGMP基礎(chǔ)上開發(fā)的,SNMP是由一系列協(xié)議組和規(guī)范組成的,SNMP的體系結(jié)構(gòu)包括SNMP管理者(SNMPManager)、SNMP者(SNMPAgent)和管理信息庫(MIB)。每個(gè)支持SNMP的網(wǎng)絡(luò)設(shè)備中都包含一個(gè),不斷地收集統(tǒng)計(jì)數(shù)據(jù),并把這些數(shù)據(jù)記錄到一個(gè)管理信息庫(MIB)中,網(wǎng)絡(luò)維護(hù)管理程序再通過SNMP通信協(xié)議查詢或修改所紀(jì)錄的信息。從被管理設(shè)備中收集數(shù)據(jù)有兩種方法:輪詢方法和基于中斷的方法。SNMP最大的特點(diǎn)是簡單性,容易實(shí)現(xiàn)且成本低,利用SNMP協(xié)議能夠?qū)Ρ槐O(jiān)視的各個(gè)網(wǎng)絡(luò)端口輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯(cuò)誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯(cuò)誤數(shù)、輸出隊(duì)長等進(jìn)行采集。
2RRDTOOL的工作原理
RRDTOOL代表“RoundRobinDatabasetool”,是TobiasOetiker設(shè)計(jì)的一個(gè)基于Perl的功能強(qiáng)大的數(shù)據(jù)儲(chǔ)存和圖形生成工具,最初設(shè)計(jì)目的是為流量統(tǒng)計(jì)分析工具M(jìn)RTG提供更好的數(shù)據(jù)存儲(chǔ)性能和更強(qiáng)的圖形生成功能。所謂的“RoundRobin”其實(shí)是一種存儲(chǔ)數(shù)據(jù)的方式,使用固定大小的空間來存儲(chǔ)數(shù)據(jù),并有一個(gè)指針指向最新的數(shù)據(jù)的位置。我們可以把用于存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)庫的空間看成一個(gè)圓,上面有很多刻度。這些刻度所在的位置就代表用于存儲(chǔ)數(shù)據(jù)的地方。所謂指針,可以認(rèn)為是從圓心指向這些刻度的一條直線。指針會(huì)隨著數(shù)據(jù)的讀寫操作自動(dòng)移動(dòng)。要注意的是,這個(gè)圓沒有起點(diǎn)和終點(diǎn),所以指針可以一直移動(dòng),而不用擔(dān)心到達(dá)終點(diǎn)后就無法前進(jìn)的問題。在一段時(shí)間后,當(dāng)所有的空間都存滿了數(shù)據(jù),就又從頭開始存放。這樣整個(gè)存儲(chǔ)空間的大小就是一個(gè)固定的數(shù)值。所以RRDtool就是使用類似的方式來存放數(shù)據(jù)的工具,RRDtool所使用的數(shù)據(jù)庫文件的后綴名是''''.rrd''''。
和其它數(shù)據(jù)庫工具相比,它具有如下特點(diǎn):
首先RRDtool存儲(chǔ)數(shù)據(jù),扮演了一個(gè)后臺(tái)工具的角色。但同時(shí)RRDtool又允許創(chuàng)建圖表,這使得RRDtool看起來又像是前端工具。其他的數(shù)據(jù)庫只能存儲(chǔ)數(shù)據(jù),不能創(chuàng)建圖表。
RRDtool的每個(gè)rrd文件的大小是固定的,而普通的數(shù)據(jù)庫文件的大小是隨著時(shí)間而增加的。
其他數(shù)據(jù)庫只是被動(dòng)的接受數(shù)據(jù),RRDtool可以對(duì)收到的數(shù)據(jù)進(jìn)行計(jì)算,例如前后兩個(gè)數(shù)據(jù)的變化程度(rateofchange),并存儲(chǔ)該結(jié)果。
RRDtool要求定時(shí)獲取數(shù)據(jù),其他數(shù)據(jù)庫則沒有該要求。如果在一個(gè)時(shí)間間隔內(nèi)(heartbeat)沒有收到值,則會(huì)用UNKN代替,其他數(shù)據(jù)庫則不會(huì)這樣做。
3監(jiān)測(cè)系統(tǒng)的安裝與配置
(1)配置路由器和交換機(jī):
開始配置RRDTool之前,必須對(duì)需要監(jiān)測(cè)的網(wǎng)絡(luò)及設(shè)備進(jìn)行良好的規(guī)劃、設(shè)計(jì)與配置,包括配置設(shè)備互聯(lián)地址、網(wǎng)管地址及路由,保證流量監(jiān)測(cè)計(jì)算機(jī)可以與被監(jiān)測(cè)設(shè)備網(wǎng)絡(luò)層的互通;配置SNMP通信字符串和端口號(hào),掌握需要的監(jiān)測(cè)對(duì)象號(hào)(SNMPOID),確保流量監(jiān)測(cè)計(jì)算機(jī)可以獲取正確的SNMP信息。在路由器和交換機(jī)上啟動(dòng)SNMP,并設(shè)置只讀團(tuán)體名。命令如下:
(config)#snmp-serverenabletraps
(config)#snmp-servercommunitytestro
(2)安裝配置RRDTool:
我們以Debian平臺(tái)來安裝配置RRDTOOL系統(tǒng),在安裝RRDTOOL前首先要安裝支持RRDTOOL運(yùn)行的環(huán)境:Zlib、libart_lgpl、cgilib、Libpng、freetype軟件包。
①安裝apache、mysql、php:apt-getinstallapache2php4mysql-serverphp4-mysql;安裝成功后通過瀏覽器訪問客戶器,可以得到“Itworks!”的提示;利用mysqladmin工具給mysql添加好管理員密碼。
②安裝RRDTOOL:apt-getinstallrrdtool。
③安裝NET-SNMP:apt-getinstallsnmp。
④安裝Cacti:apt-getinstallcacti,在安裝過程中會(huì)提示你輸入mysql管理員密碼和cacti數(shù)據(jù)庫管理員密碼。
(3)系統(tǒng)配置:
安裝好系統(tǒng)后就要進(jìn)行簡單的初始化和配置,步驟如下:
①訪問x.x.x.x/cacti,按照向?qū)崾具M(jìn)行cacti的初始化安裝;
②利用crontab-e添加計(jì)劃任務(wù):
*/5****/usr/bin/php/usr/share/cacti/site/poller.php>/dev/null2>&1
③利用cacti進(jìn)行設(shè)備的添加;
④利用cacti進(jìn)行繪圖管理。
cacti其實(shí)是一套php程序,它運(yùn)用snmpget采集數(shù)據(jù),使用rrdtool繪圖。它的界面非常漂亮,能讓你根本無需明白rrdtool的參數(shù)能輕易的繪出漂亮的圖形。更難能可貴的是,它提供了強(qiáng)大的數(shù)據(jù)管理和用戶管理功能,一張圖是屬于一個(gè)host的,每一個(gè)host又可以掛載到一個(gè)樹狀的結(jié)構(gòu)上。用戶的管理上,作為一個(gè)開源軟件,它居然做到為指定一個(gè)用戶能查看的“樹”、host、甚至每一張圖,還可以與LDAP結(jié)合進(jìn)行用戶的驗(yàn)證!我不由得佩服作者考慮的周到!Cacti還提供自己增加模板的功能,讓你添加自己的snmp_query和script!可以說,cacti將rrdtool的所有“缺點(diǎn)”都補(bǔ)足了!
網(wǎng)絡(luò)地圖
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫