网络流量分析解决方案

1、v网络流量分析是一个有助于网络管理者进行网络流量分析是一个有助于网络管理者进行 网络规划、网络优化、网络监控、流量趋势网络规划、网络优化、网络监控、流量趋势 分析等工作的工具，通过对网络信息流分析等工作的工具，通过对网络信息流 （NetStream）的采集并分析可帮助网络管）的采集并分析可帮助网络管 理者得到网络流量的准确信息，为网络的正理者得到网络流量的准确信息，为网络的正 常、稳定、可靠运行提供保障。常、稳定、可靠运行提供保障。 流量分析方案背景流量分析方案背景 v网络的可视性网络的可视性 v网络利用率如何？ v什么样的程序在网络中运行？ v主要用户有哪些？ v网络中是否产生异常流量？ v

2、有没有长期的趋势数据用作网络带宽规划？ v当前网内有哪些应用？ v分别产生了多少流量？ v网络中应用使用的模式是什么？ v企业内部重要应用执行状况如何？ v用户使用网络模式的可视性： v哪些用户产生的流量最多？ v哪些服务器接收的流量最多？ v哪些会话产生了流量？ v分别使用了哪些应用？ Net Stream技术介绍技术介绍 “流”概念Net Stream的流定义为：由源到目 的方向的一系列单向的数据包。 vNet Stream流是通过7元组来标识的，即通过 接口索引、源IP地址、目的IP地址、源端口 号、目的端口号、协议号和ToS组成的七元 组确定一个Net Stream流，设备根据七元组

3、信息对过往的数据包进行Net Stream统计。 分析下图中四条流： 上图包括的四种数据流 v 从Client A到WWW Server方向通信时产生的流； v 从WWW Server到Client A方向通信时产生的流； v 从Client B到FTP Server方向通信时产生的流； v 从FTP Server到Client B方向通信时产生的流； v从上例中可以很容易地理解，流是单向的， 同时流也是基于协议的。 v形象地说，通过NetStream流可以记录下来 网络中who、what、when、where、how。 Net Stream技术 路由器路由器/交换机交换机 统计数据统计数据

4、路由器路由器/交换机交换机 对对IP包统计分析包统计分析 网流采集器网流采集器 网流分析器网流分析器 数据库数据库 进一步分析处理进一步分析处理 vNet Stream技术可利用网络中数据流创造价 值，并可在最大限度减小对路由器/交换机性 能影响的前提下提供详细的数据流统计信息。 NTA解决方案解决方案 vNetwork Traffic Analysis解决方案包括： v网流采样设备（NTE）（Net Traffic Exporter）：采集和发送 v网流流采集设备NTC（Net Traffic Collector）：流量统计 v数据分析处理设备NTP（Net Traffic Processo

5、r）：直观的图表、报表 Net Traffic Exporter：网流采样设备 v提供Net Stream技术接口的网络设备（路由 器和交换机及的路由器），负责对设备各个 端口进出的网络报文进行流分类统计，然后 打包输出。 v作为支持NetStream的网络设备，首先需要打开网络设备的 侦听端口，然后配置将NetStream日志要发送到哪个IP的哪 个端口（即NTC设备的监听端口）。这样，设备就会把 NetStream日志以UDP包的形式发往NTC，而NTC则可从侦 听端口源源不断的接收NetStream日志。 Net Traffic Collector：网流采集设备 vNTC可以采集多个NT

6、E设备输出的数据，对 数据进行过滤和聚合，并将数据存储在数据 库中供分析处理。 vNetStream日志被NTC设备采集到之后，将会做聚合处理，这样可减少 最终存入数据库的的数据量，并提高了分析的效率；同时，NTC设备也 会对存入数据库的数据作进一步的统计处理，以便快速产生各类分析报 表。 Net Traffic Processor ：数据分析处理设备 vNTP是一个网络流量的分析工具，对采集来的流量 数据进行分析处理。为便于网络管理人员的操作， 采用基于Web形式访问，提供直观的、图形化的管 理界面，所有数据输出都以友好的形式直接在Web 页面中显示。 vNTP对NTC生成的所有数据进行分析

7、，对数据进行二次聚合、统计分析， 分析的结果以非常直观的图表、表格等形式展示给用户，通过这些分析 结果，用户可以监控网络使用状况、应用使用状况、用户网络访问行为， 并可监控到流量异常状况以便用户进一步做分析。 报表功能 v用户可根据统计分析的需求，自定义报表生 成规则，由报表引擎生成报表，并将统计分 析的结果以饼图、曲线图、统计信息表格等 直观的形态展示出来。 v报表展示 v流量统计报表-给出一段时间内入出流量的趋势图，以及 按入出流量统计总流量、最大速率、最小速率、平均速率， 并给出流量明细信息： v应用统计报表-给出一段时间内流入、流出 的各种应用以及趋势图。 v应用明细报表-给出应用统计

8、报表中某个应用的明细信息， 包含该应用的趋势、使用该应用源节点以及目的节点应用 统计报表-给出一段时间内流入、流出的各种应用以及趋 势图。 v来源统计报表-给出一段时间内，作为源IP 的各个节点产生的流量的信息。以饼图的 形式展示，并给出产生流量最多的节点： v来源明细报表-给出来源统计报表中某个节 点的明细信息。并给出与源节点通信的top 目的节点以及与源节点通信的top应用 v目的统计报表-给出一段时间内，作为目的IP的各 个节点接收的流量的统计信息。以饼图的形式展 示，并给出接收流量最多的节点 v目的明细报表-给出目的统计报表中某个节点的明 细信息。并给出与目的节点通信的top目的节点以

9、 及与目的点通信的top应用 v会话统计报表-给出会话节点流量TOP分布 图，以及会话节点流量TOP列表 v会话明细报表给出会话统计报表中， 某对IP之间在一段时间内产生的流量的趋势， 并给出这对IP之间通信所使用的应用 vDIG采集设备采集设备 vDIG采集设备针对一些不支持Net Stream技 术的网络设备，有一种DIG采集设备，只要 网络设备支持端口镜像，DIG采集设备能直 接从镜像端口收集网络流量信息，并形成 DIG日志提供给NTC/NTP进行流量分析。 vDIG采集设备DIG日志采集器所需要做的工作是把 流经设备端口的数据报文中，按照DIG日志的数 据格式对数据报文进行过滤和统计，

10、最终形成 DIG日志输出。 DIG采集设备采集类型 v1、 从镜像端口采集 v对于支持镜像端口的交换机、路由器设备， 可以将镜像端口直接同DIG日志探针组件的 采集网卡相连，实现数据采集。此类采集方 式，需要设置设备镜像端口，保证镜像端口 和采集网卡的类型匹配、带宽匹配。 DIG采集设备采集类型 v2、 分流器采集在设备不支持镜像端口的情 况下，为了不影响设备性能，比较专业的采 集方案是采用分流器，从设备端口接收网络 数据报文。此方案通常应用于光纤链路，价 格高昂。 3、 共享式HUB采集 v对于不支持端口镜像的设备，且需要监控的 端口带宽小于100M的情况下，可以使用共享 式HUB实现对端口

11、数据的采集。但这种方式 很容易引起网络单点故障，不推荐使用。 NTA解决方案的典型组网解决方案的典型组网 vNetStream日志可以开启在路由器中、汇聚层/核心层交换机中。 NTA的应用场景的应用场景 vNet Stream技术定义了一种路由器/交换机向管理系统输出 流量数据的方法，通过采集和分析流量数据，并将流量数据 与管理控制台中的其他网络和应用性能指标建立关系，对网 络运行状态进行管理。 vWho：谁（IP）使用了网络？ vWhat：网络流量的类型是什么？ vWhen：在什么时间使用网络，使用了多长时间？ vWhere：网络流量流向何处？ v利用NTA网流分析系统对这些数据进行统计分析

12、，就能从中 提取出网络流量特征，从而为网络管理员提供一张丰富而详 尽的网络利用视图。 网络优化 v通过NTA解决方案，可以使网络管理员及时 掌握网络负载状况，网内应用资源使用情况， 尽早发现网络结构的不合理，或是网络性能 瓶颈，尽快作出网络优化方面的决断，使网 络带宽分配最优化，为用户提供高品质的网 络服务，并且避免了网络带宽和服务器瓶颈 问题。 网络优化 网络规划参考 v利用NetStream流日志以及NTA长期监控网络带宽而形成 的各类趋势报表，有助于网络管理员跟踪和预测网络链路 流量的增长，从而能有效的规划网络升级（例如，增加路 由服务、端口或使用更高带宽的接口）。 WAN流量监测 v对

13、于一个企业来说，WAN带宽通常是有限的，如 果WAN链路上的流量增大，通常企业的做法就是 进行投资以升级WAN链路 v但是如果企业能掌握WAN流量的特征，制定相应的策略（比如QoS 和针对源或目的IP地址作流限制），就能使WAN带宽得到最合理最充 分的使用，避免进行不必要的升级投资 v而NTA解决方案所提供的分析结果能够使网络管理员洞察WAN链路 的流量特征、承载的应用、用户使用状况，从而针对是否应投资升级 带宽快速的作出快速响应！ 网络流量异常监测 v网络管理员都希望在网络性能突然下降的时候找到“真凶”所在，并 迅速解决问题。利用NTA解决方案提供的某段时间内的流量、应用趋 势分析，可非常直

14、观的看到网络流量是否有突然增长或突然下降的现 象，并进一步分析出是哪些用户产生了最多的流量、使用了哪些应用 以至于网络运转出现性能问题。 常见的流量监制软件 vSniffer，中文可以翻译为嗅探器，是一种基于被动侦听原，中文可以翻译为嗅探器，是一种基于被动侦听原 理的网络分析方式。使用这种技术方式，可以监视网络的理的网络分析方式。使用这种技术方式，可以监视网络的 状态、数据流动情况以及网络上传输的信息。状态、数据流动情况以及网络上传输的信息。 v当信息以明文的形式在网络上传输时，便可以使用网络监当信息以明文的形式在网络上传输时，便可以使用网络监 听的方式来进行攻击。将网络接口设置在监听模式，便

15、可听的方式来进行攻击。将网络接口设置在监听模式，便可 以将网上传输的源源不断的信息截获。以将网上传输的源源不断的信息截获。Sniffer技术常常被技术常常被 黑客们用来截获用户的口令，据说某个骨干网络的路由器黑客们用来截获用户的口令，据说某个骨干网络的路由器 网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际 上上Sniffer技术被广泛地应用于网络故障诊断、协议分析、技术被广泛地应用于网络故障诊断、协议分析、 应用性能分析和网络安全保障等各个领域。应用性能分析和网络安全保障等各个领域。 第三只眼 员工工作时间，都认真工作了？ 还是在玩游戏？

16、浏览与工作无关的网站？ 收发私人邮件？ 甚至将公司的机密资料拷贝带 走？或是通过邮件或聊天工具泄 密？ 解决之道 统计员工工作效率 对员工的所使用的程序的频率进行统计，从上图可看出9月份该员工QQ使用的频率最高、 说明聊天最多。 及时报警 对员工的某些操作进行及时报警，员工插入移动存储设备或者拷贝文件带走时、或者 其他自定义的限制操作进行的时候、都会向管理者报警。 自动搜索员工 局域网自动搜索员工，并将自动与员工网卡绑定，即使员工更改ip或者更换操作系统 重新登陆，更或者重新安装系统，都可以第一时间辨别。 历史纪录-屏幕纪录 可对员工的所有的操作进行屏幕截图并保存,管理者可以查看过去任意时间段

17、员工计 算机的屏幕状况,追溯历史操作 历史纪录-邮件纪录 收发邮件纪录，可以记录收发邮件的详细的内容及附件等 历史纪录-网页浏览 网页浏览纪录，可记录员工浏览过的网站 历史纪录-Web邮件 邮件记录 (web邮件) 历史纪录-外发纪录 可记录计算机外发信息的纪录(包括web邮件)，包括正文内容，附件等。 历史纪录-Ftp纪录 ftp纪录，可监控通过ftp上传或者下载的纪录 历史纪录-文件操作纪录 可监控员工计算机的所有的文件或者文件夹的复制，剪切，删除，重命名等操作可监控员工计算机的所有的文件或者文件夹的复制，剪切，删除，重命名等操作 历史纪录-聊天纪录 聊天纪录：聊天纪录：QQQQ聊天纪录聊

18、天纪录 历史纪录-聊天纪录 聊天纪录：贸易通聊天纪录：贸易通 聊天纪录聊天纪录 实时监控 可对员工的当前状况进行实时的监控可对员工的当前状况进行实时的监控 多画面实时监控 多画面实时监控，可同时监控多个员工的当前的计算机屏幕多画面实时监控，可同时监控多个员工的当前的计算机屏幕 硬件管理 列出员工计算机所有的硬件，并可对员工的通讯设备以及存储设备等硬件进行禁用或列出员工计算机所有的硬件，并可对员工的通讯设备以及存储设备等硬件进行禁用或 者启用者启用 internet版本功能 1. 1.拥有局域网版本的所有监控功能拥有局域网版本的所有监控功能 2.2.可以监控全球范围内的所有可以联网的员工可以监控

19、全球范围内的所有可以联网的员工 3.3.可以在全球任意可以上网的计算机上对员工进行监控可以在全球任意可以上网的计算机上对员工进行监控 应用范围 1、私营企业 2、台资、外资企业 3、国有企业 4、政府、行政单位 5、涉密单位 6、学校 Net Stream技术 路由器路由器/交换机交换机 统计数据统计数据 路由器路由器/交换机交换机 对对IP包统计分析包统计分析 网流采集器网流采集器 网流分析器网流分析器 数据库数据库 进一步分析处理进一步分析处理 NTA解决方案解决方案 vNetwork Traffic Analysis解决方案包括： v网流采样设备（NTE）（Net Traffic Exporter）：采集和发送 v网流流采集设备NTC（Net Traffic Collector）：流量统计 v数据分析处理设备NTP（Net Traffic Proce