網(wǎng)絡(luò)流量檢測(cè)對(duì)于企業(yè)網(wǎng)絡(luò)管理員來(lái)說(shuō)算是必要的技術(shù)之一，通過(guò)網(wǎng)絡(luò)流量檢測(cè)可以使得網(wǎng)絡(luò)安全管理員監(jiān)控企業(yè)網(wǎng)絡(luò)存在的異常與威脅。本篇文章就主要分析常見(jiàn)的幾種網(wǎng)絡(luò)流量檢測(cè)方法。

網(wǎng)絡(luò)流量監(jiān)測(cè)之基于流量鏡像協(xié)議分析

流量鏡像（在線TAP）協(xié)議分析方式是把網(wǎng)絡(luò)設(shè)備的某個(gè)端口（鏈路）流量鏡像給協(xié)議分析儀，通過(guò)7層協(xié)議解碼對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)。與其他3種方式相比，協(xié)議分析是網(wǎng)絡(luò)測(cè)試的最基本手段，特別適合網(wǎng)絡(luò)故障分析。缺點(diǎn)是流量鏡像（在線TAP）協(xié)議分析方式只針對(duì)單條鏈路，不適合全網(wǎng)監(jiān)測(cè)。

網(wǎng)絡(luò)流量監(jiān)測(cè)之基于硬件探針的監(jiān)測(cè)技術(shù)

硬件探針是一種用來(lái)獲取網(wǎng)絡(luò)流量的硬件設(shè)備，使用時(shí)將它串接在需要捕捉流量的鏈路中，通過(guò)分流鏈路上的數(shù)字信號(hào)而獲取流量信息。 一個(gè)硬件探針監(jiān)視一個(gè)子網(wǎng)(通常是一條鏈路)的流量信息。對(duì)于全網(wǎng)流量的監(jiān)測(cè)需要采用分布式方案，在每條鏈路部署一個(gè)探針，再通過(guò)后臺(tái)服務(wù)器和數(shù)據(jù)庫(kù)，收集所有探針的數(shù)據(jù)，做全網(wǎng)的流量分析和長(zhǎng)期報(bào)告。與其他的3種方式相比，基于硬件探針的***特點(diǎn)是能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息。但是硬件探針的監(jiān)測(cè)方式受限于探針的接口速率，一般只針對(duì)1000M以下的速率。而且探針?lè)绞街攸c(diǎn)是單條鏈路的流量分析，Netflow更偏重全網(wǎng)流量的分析。

網(wǎng)絡(luò)流量監(jiān)測(cè)之基于SNMP的流量監(jiān)測(cè)技術(shù)

基于SNMP的流量信息采集，實(shí)質(zhì)上是測(cè)試儀表通過(guò)提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB（管理對(duì)象信息庫(kù)）中收集一些具體設(shè)備及流量信息有關(guān)的變量?；赟NMP收集的網(wǎng)絡(luò)流量信息包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯(cuò)誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯(cuò)誤數(shù)、輸出隊(duì)長(zhǎng)等。相似的方式還包括RMON。與其他的方式相比，基于SNMP的流量監(jiān)測(cè)技術(shù)受到設(shè)備廠家的廣泛支持，使用方便，缺點(diǎn)是信息不夠豐富和準(zhǔn)確，分析集中在網(wǎng)絡(luò)的2、3層的信息和設(shè)備的消息。SNMP方式經(jīng)常集成在其他的3種方案中，如果單純采用SNMP做長(zhǎng)期的、大型的網(wǎng)絡(luò)流量監(jiān)控，在測(cè)試儀表的基礎(chǔ)上，需要使用后臺(tái)數(shù)據(jù)庫(kù)。

網(wǎng)絡(luò)流量監(jiān)測(cè)之基于Netflow的流量監(jiān)測(cè)技術(shù)

Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備（Cisco）提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集。Netflow為Cisco之專(zhuān)屬協(xié)議，已經(jīng)標(biāo)準(zhǔn)化，并且Juniper、extreme、華為等廠家也逐漸支持，Netflow由路由器、交換機(jī)自身對(duì)網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，并且把結(jié)果發(fā)送到第3方流量報(bào)告生成器和長(zhǎng)期數(shù)據(jù)庫(kù)。一旦收集到路由器、交換機(jī)上的詳細(xì)流量數(shù)據(jù)后，便可為網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)使用量計(jì)價(jià)、網(wǎng)絡(luò)規(guī)劃、病毒流量分析，網(wǎng)絡(luò)監(jiān)測(cè)等應(yīng)用提供計(jì)數(shù)根據(jù)。同時(shí)，Netflow也提供針對(duì)QoS（Quality of Service）的測(cè)量基準(zhǔn)，能夠捕捉到每筆數(shù)據(jù)流的流量分類(lèi)或優(yōu)先性特性，而能夠進(jìn)一步根據(jù)QoS進(jìn)行分級(jí)收費(fèi)。與其他的方式相比，基于Netflow的流量監(jiān)測(cè)技術(shù)屬于中央部署級(jí)方案，部署簡(jiǎn)單、升級(jí)方便，重點(diǎn)是全網(wǎng)流量的采集，而不是某條具體鏈路；Netflow流量信息采集效率高，網(wǎng)絡(luò)規(guī)模越大，成本越低，擁有很好的性?xún)r(jià)比和投資回報(bào)。缺點(diǎn)是沒(méi)有分析網(wǎng)絡(luò)物理層和數(shù)據(jù)鏈路層信息。Netflow方式是網(wǎng)絡(luò)流量統(tǒng)計(jì)方式的發(fā)展趨勢(shì)。