網(wǎng)絡安全安全設備之流量監(jiān)控的應用

（文章來源：百家號）

網(wǎng)絡流量監(jiān)控在網(wǎng)絡管理、入侵監(jiān)測、協(xié)議分析、流量工程等領域有著廣泛應用，網(wǎng)絡流量監(jiān)控是網(wǎng)絡流量特征歸納、網(wǎng)絡行為分析的重要基礎，是網(wǎng)絡安全最重要的組成部分。

內(nèi)網(wǎng)各個主機之間的通訊，都是通過數(shù)據(jù)包來完成的，在數(shù)據(jù)包中標識了通訊內(nèi)容、通訊協(xié)議、發(fā)送源地址以及發(fā)送目的地址信息，可以通過分析這些數(shù)據(jù)，了解當前網(wǎng)絡的運行情況，在第一時間排查故障。一些常見的病毒入侵、網(wǎng)絡性能問題、網(wǎng)絡異常行為都可以通過分析數(shù)據(jù)包來發(fā)現(xiàn)故障源頭。

基于主機內(nèi)嵌軟件監(jiān)測基于主機內(nèi)嵌軟件的流量監(jiān)測，在主機內(nèi)安裝流量監(jiān)測軟件以完成流量監(jiān)測任務。通過軟件套接字嵌入軟件截獲往返通信內(nèi)容。該方式能夠截獲全部通信報文，可以進行各種協(xié)議層的分析，但不能看到全網(wǎng)范圍的流量情況。

基于流量鏡像協(xié)議分析流量鏡像（在線TAP）協(xié)議把網(wǎng)絡設備的某個端口（鏈路）流量鏡像給協(xié)議分析儀，通過7層協(xié)議解碼對網(wǎng)絡流量進行檢測。協(xié)議分析是網(wǎng)絡監(jiān)測最基本的手段，特別適合網(wǎng)絡故障分析，但是只針對單條鏈路，不適合全網(wǎng)監(jiān)測。

基于硬件探針監(jiān)測硬件探針是一種用來獲取網(wǎng)絡流量的硬件設備，使用時將它串接在需要捕獲流量的鏈路中，通過分流鏈路上的數(shù)字信號獲取流量信息。一個硬件探針監(jiān)測一個子網(wǎng)的流量信息（通常是一條鏈路）。對于全網(wǎng)的監(jiān)測需要采用分布式方案，在每條鏈路部署一個探針，再通過后臺服務器和數(shù)據(jù)庫，收集所有探針的數(shù)據(jù)，做全網(wǎng)的流量分析和長期報告。該方式，能夠提供豐富的從物理層到應用層的詳細信息。但受限于探針的接口速率，一般只針對1000M以下的速率，著重單條鏈路的流量分析。

基于SNMP協(xié)議的流量監(jiān)測基于SNMP協(xié)議的流量監(jiān)測，通過網(wǎng)絡設備MIB收集一些具體設備及流量信息有關的變量。包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯誤數(shù)、輸入未知協(xié)議包數(shù)、輸出包數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯誤數(shù)、輸出隊長等，類似方式還包括RMON。該方式，使用軟件方法實現(xiàn)，不需要對網(wǎng)絡進行改造或增加部件、配置簡單、費用低。但是只包括字節(jié)數(shù)、報文數(shù)等最基本的內(nèi)容，不適用于復雜的流量監(jiān)測。

基于Netflow的流量監(jiān)測基于Netflow的流量監(jiān)測，提供的流量信息擴大到了基于五元組（源IP地址、目的IP地址、源端口、目的端口、協(xié)議號）的字節(jié)數(shù)和報文數(shù)統(tǒng)計，可以區(qū)分各個邏輯通道上的流。該監(jiān)測方法，通常需要在網(wǎng)絡設備上附加單獨的功能模塊實現(xiàn)。

基于鏡像端口的流量監(jiān)測端口鏡像（Port Mirroring）能夠把交換機一個或多個端口（VLAN）的數(shù)據(jù)鏡像到一個或多個端口。當沒有設置鏡像端口針對本地網(wǎng)卡進行監(jiān)控時，所能捕獲的僅僅是本機流量以及網(wǎng)絡中的廣播數(shù)據(jù)包、組播數(shù)據(jù)包，而其他主機的通訊數(shù)據(jù)包是無法獲取的。對于交互式網(wǎng)絡來說，可以在交換機或路由器上設置鏡像端口，指定交換機多個或所有端口鏡像到一個端口，這樣通過連接該端口并監(jiān)控，就可以捕獲多個端口的總流量數(shù)據(jù)。該方式能夠很容易獲取全網(wǎng)的流量數(shù)據(jù)，但對于分析系統(tǒng)的接收性能以及網(wǎng)絡帶寬要求較高。

流量監(jiān)控有利于及時了解整個網(wǎng)絡的運行態(tài)勢、網(wǎng)絡負載情況、網(wǎng)絡安全狀況、流量發(fā)展趨勢、用戶行為模式、業(yè)務與站點的接受程度，為網(wǎng)絡的運行和維護提供重要依據(jù)，有利于管理人員進行網(wǎng)絡性能分析、異常檢測、鏈路狀態(tài)監(jiān)測、容量規(guī)劃等工作。

流量監(jiān)控為流量分析提供了基礎數(shù)據(jù)（流量分析主要從帶寬、網(wǎng)絡協(xié)議、基于網(wǎng)段的業(yè)務、網(wǎng)絡異常流量、應用服務異常等五個方面進行流量分析）。在一個復雜的網(wǎng)絡環(huán)境中，必須保證重要應用的帶寬需求，通過基于帶寬的網(wǎng)絡流量分析，能夠及時明確帶寬使用情況，帶寬不足時，可以盡快解決。針對不同網(wǎng)絡協(xié)議進行流量監(jiān)控和分析，如果某一協(xié)議在一個時間段內(nèi)出現(xiàn)超常暴漲，就有可能是攻擊流量或蠕蟲病毒出現(xiàn)。大多數(shù)組織，將不同業(yè)務系統(tǒng)通過VLAN進行邏輯隔離，流量系統(tǒng)可以針對不同的VLAN進行網(wǎng)絡流量監(jiān)控，以監(jiān)控業(yè)務系統(tǒng)是否異常。