【51CTO獨家特稿】網(wǎng)絡危害之四問網(wǎng)管人員

作為一名網(wǎng)絡管理人員，您是否經(jīng)常遭遇下列問題呢？

一問：網(wǎng)絡利用率很高，寬帶被大量占用，經(jīng)常有流量暴漲導致網(wǎng)絡擁堵——到底是誰在使用網(wǎng)絡，在使用網(wǎng)絡運行什么程序，導致?lián)矶碌脑蚴鞘裁?，如何找到“兇手”?/P>

二問：網(wǎng)絡帶寬不足，需要優(yōu)化，但缺乏統(tǒng)計數(shù)據(jù)為未來網(wǎng)絡建設計劃及決策做支撐。

三問：用戶抱怨服務器不響應請求，網(wǎng)絡中斷，但是原因不詳——到底是服務器負載太高的原因，還是網(wǎng)絡擁堵呢？

四問：希望獲得詳細的網(wǎng)絡管理報表，如：IP地址，服務端口及協(xié)議的流量分布等。

應用異常流量分析可以解決上述問題，這是網(wǎng)絡性能管理重要的一環(huán)。其原理就如同醫(yī)生使用X光、超聲波一樣，可以透視企業(yè)內(nèi)部網(wǎng)絡運作情況，對網(wǎng)絡威脅做到一目了然。

網(wǎng)絡危害監(jiān)測技術現(xiàn)狀   

根據(jù)對網(wǎng)絡異常流量的采集方式可將網(wǎng)絡異常流量監(jiān)測技術分為：基于網(wǎng)絡流量全鏡像的監(jiān)測技術、基于SNMP的監(jiān)測技術和基于流量分析協(xié)議的監(jiān)測技術三種常用技術。   

基于網(wǎng)絡流量全鏡像的監(jiān)測技術。網(wǎng)絡流量全鏡像采集是目前IDS主要采用的網(wǎng)絡流量采集模式，其原理是通過交換機等網(wǎng)絡設備的端口鏡像或者通過分光器、網(wǎng)絡探針等附加設備，實現(xiàn)網(wǎng)絡流量的無損復制和鏡像采集。和其他兩種流量采集方式相比，流量鏡像采集的***特點是能夠提供豐富的應用層信息。    

基于SNMP的流量監(jiān)測技術。基于SNMP的流量信息采集實質(zhì)上是通過提取網(wǎng)絡設備Agent提供的MIB(管理對象信息庫)中收集一些具體設備及流量信息有關的變量。基于SNMP收集的網(wǎng)絡流量信息包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯誤數(shù)、輸入未知協(xié)議包數(shù)等。

基于Netflow、sflow等網(wǎng)絡流量分析協(xié)議的流量監(jiān)測技術。流量分析協(xié)議信息采集是基于網(wǎng)絡設備提供的流量分析協(xié)議機制實現(xiàn)的網(wǎng)絡流量信息采集，在此基礎上實現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡流量異常監(jiān)測的需求。而各個廠商又有其私有的網(wǎng)絡流量分析，如應用最廣泛的當屬Cisco公司的Netflow網(wǎng)絡流量分析協(xié)議，除此之外還有以華為和H3C為代表的NetStream網(wǎng)絡流量分析協(xié)議，以及sFlow、cFlow等。 

摩卡網(wǎng)絡流量分析(Mocha Network Traffic Analyzer)

摩卡流量分析管理軟件，它是摩卡軟件有限公司(Mocha Software Co., Ltd.)針對各行業(yè)企業(yè)的網(wǎng)絡系統(tǒng)，通過支持各種廠家的流量統(tǒng)計協(xié)議，并獲取核心網(wǎng)絡設備流量分析協(xié)議包，分析和統(tǒng)計網(wǎng)絡的真實流量，以及對網(wǎng)絡流量中的協(xié)議進行分析，來達到監(jiān)控網(wǎng)絡流量的目的。

Mocha NTA首先帶來了網(wǎng)絡帶寬使用模式的可視化。

一般情況下，網(wǎng)絡出現(xiàn)問題后網(wǎng)絡管理員只是獲得到一個表象，比如，網(wǎng)絡速度慢，網(wǎng)絡丟包等，這使得網(wǎng)絡管理員無從下手，只能通過猜測的方法去重復的登錄一個一個的網(wǎng)絡設備去核查可疑的因素，這大大加重了網(wǎng)絡管理維護人員的負擔，但是收效甚微，往往達不到預期的目的。

而Mocha NTA可以使網(wǎng)絡管理人員從下列幾個步驟入手快速定位和解決問題：

首先，定位是哪種協(xié)議占用的網(wǎng)絡流量***，如下圖： 

圖

通過上圖可以看到是http這種應用占用了超過半數(shù)的網(wǎng)絡帶寬，同樣如果網(wǎng)絡中正在使用網(wǎng)絡流氓性質(zhì)的軟件，比如P2P軟件的話，也可以在上面的圖中顯示出來它所占用的百分比。

然后，通過點擊上圖中的http可以查看到網(wǎng)絡中正在使用此協(xié)議的源IP和目的IP地址，從而可以進一步判斷是哪一個源IP在占用***的網(wǎng)絡帶寬。 

圖

從上圖可以看出是192.168.17.208所占用的流量是***的，可以通過點擊此條目，查看此臺計算機終端上所占用的所有的網(wǎng)絡流量。如下圖：

圖

 如果查到某個計算機在使用P2P軟件后可以結合摩卡的網(wǎng)絡拓撲背板功能，直接將此計算機終端和網(wǎng)絡斷開，從而從根本上解決了網(wǎng)絡帶寬占用的問題。

總結

摩卡網(wǎng)絡流量分析協(xié)議能夠幫助網(wǎng)絡管理員對有效的加強網(wǎng)絡管理，從而防止網(wǎng)絡危害事件的發(fā)生。完滿地回答了網(wǎng)絡危害之四問，是網(wǎng)絡管理員的有力幫手，為企業(yè)網(wǎng)絡的健康保駕護航。