【51CTO獨(dú)家特稿】網(wǎng)絡(luò)危害之四問(wèn)網(wǎng)管人員

作為一名網(wǎng)絡(luò)管理人員，您是否經(jīng)常遭遇下列問(wèn)題呢？

一問(wèn)：網(wǎng)絡(luò)利用率很高，寬帶被大量占用，經(jīng)常有流量暴漲導(dǎo)致網(wǎng)絡(luò)擁堵——到底是誰(shuí)在使用網(wǎng)絡(luò)，在使用網(wǎng)絡(luò)運(yùn)行什么程序，導(dǎo)致?lián)矶碌脑蚴鞘裁?，如何找到“兇手”?/P>

二問(wèn)：網(wǎng)絡(luò)帶寬不足，需要優(yōu)化，但缺乏統(tǒng)計(jì)數(shù)據(jù)為未來(lái)網(wǎng)絡(luò)建設(shè)計(jì)劃及決策做支撐。

三問(wèn)：用戶抱怨服務(wù)器不響應(yīng)請(qǐng)求，網(wǎng)絡(luò)中斷，但是原因不詳——到底是服務(wù)器負(fù)載太高的原因，還是網(wǎng)絡(luò)擁堵呢？

四問(wèn)：希望獲得詳細(xì)的網(wǎng)絡(luò)管理報(bào)表，如：IP地址，服務(wù)端口及協(xié)議的流量分布等。

應(yīng)用異常流量分析可以解決上述問(wèn)題，這是網(wǎng)絡(luò)性能管理重要的一環(huán)。其原理就如同醫(yī)生使用X光、超聲波一樣，可以透視企業(yè)內(nèi)部網(wǎng)絡(luò)運(yùn)作情況，對(duì)網(wǎng)絡(luò)威脅做到一目了然。

網(wǎng)絡(luò)危害監(jiān)測(cè)技術(shù)現(xiàn)狀   

根據(jù)對(duì)網(wǎng)絡(luò)異常流量的采集方式可將網(wǎng)絡(luò)異常流量監(jiān)測(cè)技術(shù)分為：基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)、基于SNMP的監(jiān)測(cè)技術(shù)和基于流量分析協(xié)議的監(jiān)測(cè)技術(shù)三種常用技術(shù)。   

基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)。網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式，其原理是通過(guò)交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過(guò)分光器、網(wǎng)絡(luò)探針等附加設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)流量的無(wú)損復(fù)制和鏡像采集。和其他兩種流量采集方式相比，流量鏡像采集的***特點(diǎn)是能夠提供豐富的應(yīng)用層信息。    

基于SNMP的流量監(jiān)測(cè)技術(shù)?；赟NMP的流量信息采集實(shí)質(zhì)上是通過(guò)提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB(管理對(duì)象信息庫(kù))中收集一些具體設(shè)備及流量信息有關(guān)的變量?；赟NMP收集的網(wǎng)絡(luò)流量信息包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯(cuò)誤數(shù)、輸入未知協(xié)議包數(shù)等。

基于Netflow、sflow等網(wǎng)絡(luò)流量分析協(xié)議的流量監(jiān)測(cè)技術(shù)。流量分析協(xié)議信息采集是基于網(wǎng)絡(luò)設(shè)備提供的流量分析協(xié)議機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集，在此基礎(chǔ)上實(shí)現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡(luò)流量異常監(jiān)測(cè)的需求。而各個(gè)廠商又有其私有的網(wǎng)絡(luò)流量分析，如應(yīng)用最廣泛的當(dāng)屬Cisco公司的Netflow網(wǎng)絡(luò)流量分析協(xié)議，除此之外還有以華為和H3C為代表的NetStream網(wǎng)絡(luò)流量分析協(xié)議，以及sFlow、cFlow等。 

摩卡網(wǎng)絡(luò)流量分析(Mocha Network Traffic Analyzer)

摩卡流量分析管理軟件，它是摩卡軟件有限公司(Mocha Software Co., Ltd.)針對(duì)各行業(yè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)，通過(guò)支持各種廠家的流量統(tǒng)計(jì)協(xié)議，并獲取核心網(wǎng)絡(luò)設(shè)備流量分析協(xié)議包，分析和統(tǒng)計(jì)網(wǎng)絡(luò)的真實(shí)流量，以及對(duì)網(wǎng)絡(luò)流量中的協(xié)議進(jìn)行分析，來(lái)達(dá)到監(jiān)控網(wǎng)絡(luò)流量的目的。

Mocha NTA首先帶來(lái)了網(wǎng)絡(luò)帶寬使用模式的可視化。

一般情況下，網(wǎng)絡(luò)出現(xiàn)問(wèn)題后網(wǎng)絡(luò)管理員只是獲得到一個(gè)表象，比如，網(wǎng)絡(luò)速度慢，網(wǎng)絡(luò)丟包等，這使得網(wǎng)絡(luò)管理員無(wú)從下手，只能通過(guò)猜測(cè)的方法去重復(fù)的登錄一個(gè)一個(gè)的網(wǎng)絡(luò)設(shè)備去核查可疑的因素，這大大加重了網(wǎng)絡(luò)管理維護(hù)人員的負(fù)擔(dān)，但是收效甚微，往往達(dá)不到預(yù)期的目的。

而Mocha NTA可以使網(wǎng)絡(luò)管理人員從下列幾個(gè)步驟入手快速定位和解決問(wèn)題：

首先，定位是哪種協(xié)議占用的網(wǎng)絡(luò)流量***，如下圖： 

圖

通過(guò)上圖可以看到是http這種應(yīng)用占用了超過(guò)半數(shù)的網(wǎng)絡(luò)帶寬，同樣如果網(wǎng)絡(luò)中正在使用網(wǎng)絡(luò)流氓性質(zhì)的軟件，比如P2P軟件的話，也可以在上面的圖中顯示出來(lái)它所占用的百分比。

然后，通過(guò)點(diǎn)擊上圖中的http可以查看到網(wǎng)絡(luò)中正在使用此協(xié)議的源IP和目的IP地址，從而可以進(jìn)一步判斷是哪一個(gè)源IP在占用***的網(wǎng)絡(luò)帶寬。 

圖

從上圖可以看出是192.168.17.208所占用的流量是***的，可以通過(guò)點(diǎn)擊此條目，查看此臺(tái)計(jì)算機(jī)終端上所占用的所有的網(wǎng)絡(luò)流量。如下圖：

圖

 如果查到某個(gè)計(jì)算機(jī)在使用P2P軟件后可以結(jié)合摩卡的網(wǎng)絡(luò)拓?fù)浔嘲骞δ埽苯訉⒋擞?jì)算機(jī)終端和網(wǎng)絡(luò)斷開(kāi)，從而從根本上解決了網(wǎng)絡(luò)帶寬占用的問(wèn)題。

總結(jié)

摩卡網(wǎng)絡(luò)流量分析協(xié)議能夠幫助網(wǎng)絡(luò)管理員對(duì)有效的加強(qiáng)網(wǎng)絡(luò)管理，從而防止網(wǎng)絡(luò)危害事件的發(fā)生。完滿地回答了網(wǎng)絡(luò)危害之四問(wèn)，是網(wǎng)絡(luò)管理員的有力幫手，為企業(yè)網(wǎng)絡(luò)的健康保駕護(hù)航。