【51CTO独家特稿】网络危害之四问网管人员
作为一名网络管理人员,您是否经常遭遇下列问题呢?
一问:网络利用率很高,宽带被大量占用,经常有流量暴涨导致网络拥堵——到底是谁在使用网络,在使用网络运行什么程序,导致拥堵的原因是什么,如何找到“凶手”?
二问:网络带宽不足,需要优化,但缺乏统计数据为未来网络建设计划及决策做支撑。
三问:用户抱怨服务器不响应请求,网络中断,但是原因不详——到底是服务器负载太高的原因,还是网络拥堵呢?
四问:希望获得详细的网络管理报表,如:IP地址,服务端口及协议的流量分布等。
应用异常流量分析可以解决上述问题,这是网络性能管理重要的一环。其原理就如同医生使用X光、超声波一样,可以透视企业内部网络运作情况,对网络威胁做到一目了然。
网络危害监测技术现状
根据对网络异常流量的采集方式可将网络异常流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于流量分析协议的监测技术三种常用技术。
基于网络流量全镜像的监测技术。网络流量全镜像采集是目前IDS主要采用的网络流量采集模式,其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其他两种流量采集方式相比,流量镜像采集的***特点是能够提供丰富的应用层信息。
基于SNMP的流量监测技术。基于SNMP的流量信息采集实质上是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数等。
基于Netflow、sflow等网络流量分析协议的流量监测技术。流量分析协议信息采集是基于网络设备提供的流量分析协议机制实现的网络流量信息采集,在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。而各个厂商又有其私有的网络流量分析,如应用最广泛的当属Cisco公司的Netflow网络流量分析协议,除此之外还有以华为和H3C为代表的NetStream网络流量分析协议,以及sFlow、cFlow等。
摩卡网络流量分析(Mocha Network Traffic Analyzer)
摩卡流量分析管理软件,它是摩卡软件有限公司(Mocha Software Co., Ltd.)针对各行业企业的网络系统,通过支持各种厂家的流量统计协议,并获取核心网络设备流量分析协议包,分析和统计网络的真实流量,以及对网络流量中的协议进行分析,来达到监控网络流量的目的。
Mocha NTA首先带来了网络带宽使用模式的可视化。
一般情况下,网络出现问题后网络管理员只是获得到一个表象,比如,网络速度慢,网络丢包等,这使得网络管理员无从下手,只能通过猜测的方法去重复的登录一个一个的网络设备去核查可疑的因素,这大大加重了网络管理维护人员的负担,但是收效甚微,往往达不到预期的目的。
而Mocha NTA可以使网络管理人员从下列几个步骤入手快速定位和解决问题:
首先,定位是哪种协议占用的网络流量***,如下图:
图 |
通过上图可以看到是http这种应用占用了超过半数的网络带宽,同样如果网络中正在使用网络流氓性质的软件,比如P2P软件的话,也可以在上面的图中显示出来它所占用的百分比。
然后,通过点击上图中的http可以查看到网络中正在使用此协议的源IP和目的IP地址,从而可以进一步判断是哪一个源IP在占用***的网络带宽。
图 |
从上图可以看出是192.168.17.208所占用的流量是***的,可以通过点击此条目,查看此台计算机终端上所占用的所有的网络流量。如下图:
图 |
如果查到某个计算机在使用P2P软件后可以结合摩卡的网络拓扑背板功能,直接将此计算机终端和网络断开,从而从根本上解决了网络带宽占用的问题。
总结
摩卡网络流量分析协议能够帮助网络管理员对有效的加强网络管理,从而防止网络危害事件的发生。完满地回答了网络危害之四问,是网络管理员的有力帮手,为企业网络的健康保驾护航。