【精品实用】综合实验设计指导书

综合实验设计指导书 20014010文君 一、实验名称： 网络流量监测及分析 二、实验目的： 1、观察网络中出现的各种数据包的结构，封装格式，掌握数据包的分析方法。通过分析数据包格式，结合网络课程所学知识，达到验证所学，学以致用的目的。 2、了解流量监测的基本方法和采样统计分析过程； 掌握流量监测中的采样方法，包括选择监测采样技术，如何设置采样点，选择采样时间以及采样数据存储区大小的设定等 3、分析监测到的网络流量，并做出分析报告。 通过从不同的角度对数据进行分析，得到实验结论和利用网络知识解释分 析流量变化原因。 例如，可从以下角度： 数据链路层：广播、单播，分析广播风暴；报文长度，分析各种长度报文所占比例，计算报文平均长度等。 网络层：源和目的；分析内外网进出流量，分析焦点节点流量比例及变换情况；分析 络开销比例等。 传输层：分析面向连接协议与面向无连接协议的使用情况。 应用层：分析各种典型应用的使用情况。 主要的分析方法可以用到：流量随时间变化曲线，及对高峰低谷数据的分析；分析各成分在流量中的比例，及随时间变化曲线等；求平均值及比较各成分均值。 三、实验要求 1、实验者在了解实验目 的后，自行设计监测计划，和按计划取得数据。自己制定数据分析方法和分析角度，得出实验结论。 2、完成至少 4 种类型的数据包的分析，列出每个字段的含义。除了给出该字段的数值外，还要指出字段值表达了怎样的信息。 3、做出全天数据总流量变化图。 4、至少从 3种不同角度对流量进行分析。 5、完成整个监测计划中每天流量变化的比较分析 分析的重点不是各项统计数据本身，实验者需要完成对这些数据值的大小、关系、变化趋势等方面的进行分析和评价，进一步得出网络流量特点的结论，并尝试揭露形成相应特点的原因。 四、实验原理 1、设置监 测点 在网络中不同的位置设置监测点，监测结果和结论将有很大差别。如在网络内设置监测点可以观察网内通信的情况，在网间设置检测点则主要观察数据进出网络的情况。 由于监测目标的子网内采用了交换机，网内监测将很难观察通信情况，本设计将主要观察网间通信，将监测点设置在通信学院二级子网与校园主干网相接的线路上。 2、网络监测方法： （ 1）利用 集线器（ 质上是一个多端口中继器，即从任何一个工作站传输的数据都被在其他所有端口上 转发。我们可以利用集线器的这种总线特性，在监测点放置一个集线器，集线器上的两个端口分别接被监测线路的两端，利用第三个接口，接入监测机，观察经过被监测线路上的数据。 校园主干网 通信学院 二级子网 50 监测点 利用集线器监测的主要缺点是：被监测线路传输速率为 100集线器多工作在 10使被监测线路降速；此外，如果监测机也在主动发送发送数据，将对被监测线路造成干扰。 （ 2）防火墙方式 可在监测机上设置两张网卡，分别接被监测线路两端，在被监测线路上的数据就要经过监测机。该方式与防 火墙的工作原理一样。 本方法的优点是可以工作在 100保证所有的数据都能被监测到。但被监测线路受监测机性能影响很大，监测机即要缓存所有的数据，又要不断转发，如果监测机性能较低，将直接造成线路降速。 （ 3） 式 部分品牌的交换机具有 能，可以将某个端口的数据同时拷贝一份到映象端口。我们在本设计利用 交换机上与通信学院连接的端口上进出的数据复制到监测端口，达到监测目的。 本方法的优点是：不会改变网络拓扑，不对被监测线路造成影响。缺点是：仅有部分厂商的产品支持这一功能；在监测全双工端口时，如果双向数据流量之和超过100监测机将无法准确监测。 50 监测机 50 监测机 50 监测机 、监测机 在监测机上将网卡的全接收功能打开，它可以接收所有数据并存盘和分析。监测机的内存大小和 性能都会影响从网卡读取数据的速度，一旦监测机无法及时从网卡读取数据，将造成丢包，影响监测的准确性。但是不能为了节约内存而将采样时间减小，如果采样时间过小，如小于 10秒，则样本值并不能 反映正确的流量。 4、监测软件： 实验中使用 件来监测数据，该软件还能对样本进行初步的统计分析。实验者可以充分利用软件的统计功能获得各项数据 ，实验者重点需要完成对这些数据值的大小、关系、变化趋势等方面的分析，以得出网络流量特点的结论，并尝试揭露形成相应特点的原因。 五、实验方法 在选定的监测点；利用交换机的 能和监测软件获取监测数据；多次监测，进行采样、统计、比较和分析。 六、实验进度安排 总时间为两星期，共 10天。 第一天，了解设计任务要求、熟悉实验环境，分组及推选组长，制定监 测计划 第二天，进行预监测，熟悉监测软件 第三天第七天，按计划监测 第八天第九天，完成实验报告 第十天，组织答辩。 七、实验数据记录 本次实验采样时间是 2004： 30至 12： 10，中午休息时间未采样，下午 2： 30至 6： 30，总采样时间为 8 小时左右，每隔 5分钟采样一次，采样得文件 92 个，每个文件大小为 12M。上午 10 点之前每个文件采样时间为 1 分 30 秒左右，可见上网的人比较少； 10点以后采样时间为 40秒左右，说明上网的人开始增多；下午网络流量增加，每个文件采样时间缩短， 30 秒左右就可以采样得 到一个12 八、实验数据分析 1）流量分析 流量随时间变化图如下所示： 全天流量图0500000100000015000002000000250000030000000 20 40 60 80 100图中我们可以看出，网络在第 10个采样点开始既9 点 15 左右出现第一个小高峰，而后出现短暂回落，继而继续上升，分析原因可能是在办公室和教研室上班的人逐渐增加，并都开始利用网络所致。在 10 点 50 左右出现第 2 个小高峰，到了 11 点 15 左右网络出现最高峰，到了 11 点 50 时网络出现底峰，可能由于下班午餐的原因导致数据流量偏低。下午网络流量在 14 点 30 左右开始迅速提升到一个最大值并保持在这一水平，起伏不是很大。 17 点 5 分左右网络流量出现极大值，然后又迅速下降，分析原因可能是部分站点之间的通信已经完成，因此网络流量骤减。到 17 点 55 再次出现峰值。分析原因可能是部分老师或研究生上完下午第二节课回到了教研室，开始使用网络。而后网络流量出现缓慢回落，可能因为大家都去吃饭的缘故。 2）网络利用率分析 总体来看，全天的网络流量呈上升趋势，到 18点以后才略有减退。 与网络流量相关的一个参数便是网络的平均利用率 （如下图所示），网络的平均利用率计算公式为 平均利用率网络流量 /网络带宽。 所以网络的平均利用率应该和流量成正比，这也在上图中基本反映出来。但是我们发现整个平均使用率的曲线和流量的曲线的变化程度并不是完全相同，这是因为我们将网络带宽是一个非常大的数字（ 100M），所以在除了这样大的一个数据后，流量变化比较小的时间段的平均利用率的曲线将变的很平缓，而在流量变化很剧烈的时间段，平均利用率的曲线将变的非常陡峭。这就是两张图表出现一个差异的根本原因。 0%5%10%15%20%25%0 20 40 60 80 100信主机源分析 8： 30 可以清楚看 到早晨 8 点 30 左右，主要的网络流量都是因为主机 间在通信。 9： 15 此时正是网络流量在上午的高峰期，通信还是主要集中在 间。而相比较而言，其在网络流量中所占的百分比下降了，这是由整个网络流量上升引起的。 10： 00 此时的网络流量不再是主要集中在 2 台主机之间，而是由多台主机之间的通信构成，这是的网络流量也不如 9： 15 分左右。我通过比较推测， 间的通信结束了，因此减少了网络流量。 4）对几种重要报文类型的分析 对从 92个采样点的分析来看，其主要使用的数据包类型有 面对这四种数据包作一些分析： 0 40 60 80 100IP 们可以观察到 因在于我们使用的是 是现在的网络不太使用 为可靠的运输协议，所以我们可以从上图中观 察到 面向连接、可靠的运输协议 而这里面很特别的现象是 提供差错报告和查询，使得 上的传输能够尽量的可靠。在一个稳定的，正常使用的网络中，我们应该观察到 是，我们可以在上图中看到 数量出现了异常波动，在 8： 35 分出现了一个高峰。这是什么原因呢？我将在下面对这个问题进行详细的分析。 在 8： 35这 个采样点上，我们可以观察到 是一个非常奇怪的现象，因为在正常的网络中 是我们利用 件打开我们采样得到的数据包，对里面的数据进行分析。 在利用 件中的 们可以看到我们截取的每一个数据包的含义和内容。在一番查找之后，最终找到了原因。首先，我们发现绝大部分的 (，是一个回送请求的报文。这一点非常奇怪，因为在正常的网络中 ， 是，我们将 查找原因。我们在理论上知道 是，我们从这点入手，最终找到了原因：源地址为 主机对我们整个网络发送了大量的 数据包（这些数据包的目的地址是 从而造成主机发送 文，对网络进行查询，造成网络中的 文数量出现异常。所以， 且绝大部分的 文是 4）对几种数据包进行分 析 a） 对 文本传输协议）数据包进行分析 ： 主要用在万维网上存取数据的协议。此协议传送数据的形式可以是普通正文、超文本、音频、视频，等等。它被称作超文本传送协议是因为它的效率可以从一个文档迅速跳到另一个文档的超文本环境。 思想非常简单。客户给服务器发送请求，它与邮件看起来相似，服务器向客户机发送相应，看起来象邮件回答，请求和报文携带的数据形式类似于 这是一个 请求报文，源地址 目的地址 方法在端口 3915 来读取路径为 /图片。请求行给出了方法（ 及 版本（ 首部有两行，给出了客户可以接受任何格式的文档（ */*，通配符）。同时指明了被链接文档的 ）。 b） 对 址解析协议）报文进行分析： 用单播和广播物理地址。任何时候当主机或路由器需要找出另一个主机或路由器在此网罗上的物理地址时，它久发送一个个分组包括发送 站的物理地址和 及接收站的 为发送站不知道接收站的物理地址，查询就在网 根据软件对该 进行的分析，我们可以看到，该 的地址使用的是广播地址，它要查找的是 址为 主机的物理地址（我们可以看到，此请求报文中的目标主机的物理地址在此时为全 0）。而发出请求的是 主机，它的物理地址是 50784该帧中，还有 18 字节的填充字段。同时该 0议类型为 件 地址的长度为 6 个字节，协议地址的长度为 4个字节。 c） 对 户数据报协议）报文进行分析： 先讨论 无连接的，不可靠的运输协议。它提供进程到进程的通信，没有给 务添加任何负担。同时，它还完成非常有限的差错检验。该协议非常简单，开销非常小。 由图可以看出 户数据报共有如下的字段： 1 源端口号：这是在源主机上运行的进程使用的端口号，它有 16 位长。图中的源端口号是 30601 2 目的端口号：这是在目的主机上运行的进程使用的 端口号，它也是 16 位长。图中的目的端口号为 974。 3 长度：这是一个 16 位字段，它定义了用户数据报的总长度，首部加上数据，图中长度为 111。根据软件的分析我们看出，在数据报中指定的数据报长度比实际收到的数据报长度要大。因此我们怀疑该数据报在传输过程中出错了。 4 检验和：这个字段用来检验整个用户数据报出现的差错。此处检验和为 检验无法进行证实，因此确信该数据报传输过程中有一部分数据丢失了。 5 最后一行给出了该 文的大小为 86 字节，而实际应该收到的数据应该为 103个字节。 d） 对 输控制协 议）报文进行分析： 靠的传输协议。它工作于传输层。传输层具有几种责任。一种责任就是创建进程到进程（程序到程序）的通信， 一种责任就是在运输层提供流控制和差错控制机制， 使用确认分组、超时和重传来完成差错控制。 由图可以看到 187和 21（因此这实际上是主机在请求一个 务）。然后给出了序号，然后是首部长和保留和特殊字段，窗口大小为 65535，检验和为 408B，下面是选项及补 充字段。 1 源端口地址：这是一个 16 位的字段，它定义了在主机中发送该报文段的应用程序的端口号（ 1187）。 2 目的端口地址：这是一个 16 位的字段，它定义了在主机中接收该报文段的应用程序的端口号（ 21）。 3 序号：这个 32 位的字段定义了一个数，它指派给本报文段数据的第一个字节（ 20 4 确认号：这个 32 位的字段定义了源进程期望从对方接收的报文段的序号，如果报文段的接收端成功的接收了对方发来的序号 X，它将确认号定义为 X+1（ 示还没有接受到对发发来的报文）。 5 首部长度：这个 4字段指出 字节字。（ 7） 6 保留：这个 6字段保留为今后使用。 7 其他：有定义控制和窗口大小和紧急指针和选项。 九、实验结论 网络流量随时间变化很大，清晨的流量最小，中午和下午的流量较大。研究生普遍来教研室较晚，中午十二点流量也维持在较高的水平上是因为他们在走的时候没有关电脑，而是开着下载文件。 网络利用率很低，因为我们学院出口带宽为 10M，因此，在大多数情况下，利用率不到 10%，因此在很长一段时间内不用扩充带宽。 在已知协议中，使用 用其它的人数较少。 校园网内部的通 信占绝大部分，与外部网络的通信较少，这可能和外联速度快慢有关系 用 样的时候，在流量较大时应该增加采样的次数以保证采样值的代表性，而在流量较少时可以适当