【51CTO.com獨(dú)家特稿】一、 網(wǎng)絡(luò)流量管理的范疇

近十幾年來(lái)，互聯(lián)網(wǎng)已經(jīng)成為越來(lái)越重要的需求。據(jù)統(tǒng)計(jì)，互聯(lián)網(wǎng)目前已成為人類社會(huì)最重要的信息基礎(chǔ)設(shè)施，占人類信息交流的80%。對(duì)社會(huì)進(jìn)步、經(jīng)濟(jì)發(fā)展和國(guó)家安全具有重大戰(zhàn)略意義。在這種大背景下，面對(duì)日益復(fù)雜的網(wǎng)絡(luò)聯(lián)機(jī)及逐漸增加的網(wǎng)絡(luò)流量，系統(tǒng)和網(wǎng)絡(luò)管理者必須花費(fèi)更多時(shí)間精力來(lái)了解這些網(wǎng)絡(luò)設(shè)備的運(yùn)作狀況，以維持一個(gè)系統(tǒng)的正常運(yùn)作。

一般來(lái)說(shuō)，網(wǎng)絡(luò)管理者所需要了解的是各個(gè)網(wǎng)段的使用情形，頻寬的使用率，網(wǎng)絡(luò)問(wèn)題的瓶頸發(fā)生于何處。當(dāng)網(wǎng)絡(luò)問(wèn)題發(fā)生時(shí)，必須能夠很快地分析和判斷出問(wèn)題的發(fā)生原因，可能是線路問(wèn)題、網(wǎng)絡(luò)設(shè)備問(wèn)題、或者是路由器的設(shè)定問(wèn)題。對(duì)網(wǎng)絡(luò)流量進(jìn)行有效的管理是最大化發(fā)揮網(wǎng)絡(luò)效能的首要因素。那么，管理網(wǎng)絡(luò)流量的時(shí)候應(yīng)該通過(guò)什么樣的依據(jù)管理，通過(guò)什么手段有效的把流量進(jìn)行識(shí)別、分析和管理呢？這是本專題所要解決的主要問(wèn)題。

一般說(shuō)來(lái)，我們可以將網(wǎng)絡(luò)流量管理大致分為如下幾個(gè)大的范疇：

1、 流量識(shí)別

流量識(shí)別，也叫業(yè)務(wù)識(shí)別|(Application Awareness)：它是伴隨著網(wǎng)絡(luò)業(yè)務(wù)的蓬勃發(fā)展而出現(xiàn)的一個(gè)新的概念，通過(guò)對(duì)業(yè)務(wù)流量從數(shù)據(jù)鏈路層到應(yīng)用層的報(bào)文深度檢查分析，依據(jù)協(xié)議類型、端口號(hào)、特征字符串和流量行為特征等參數(shù)，獲取業(yè)務(wù)類型、業(yè)務(wù)狀態(tài)、業(yè)務(wù)內(nèi)容和用戶行為等信息，并進(jìn)行分類統(tǒng)計(jì)和存儲(chǔ)。業(yè)務(wù)識(shí)別的基本目的是幫助網(wǎng)絡(luò)管理者獲得網(wǎng)絡(luò)層之上的業(yè)務(wù)層流量信息，如業(yè)務(wù)類型、業(yè)務(wù)狀態(tài)、業(yè)務(wù)分布、業(yè)務(wù)流量流向等。業(yè)務(wù)識(shí)別是一個(gè)相對(duì)復(fù)雜的過(guò)程，需要多個(gè)功能模塊的協(xié)同工作，業(yè)務(wù)識(shí)別的工作過(guò)程簡(jiǎn)單描述如下： 

◆識(shí)別處理模塊采用多通道識(shí)別處理，通過(guò)對(duì)網(wǎng)絡(luò)流量的源/目的IP地址和源/目的端口號(hào)的Hash算法，將網(wǎng)絡(luò)流量均勻的分配到多個(gè)處理通道中。 

◆多處理通道并行執(zhí)行網(wǎng)絡(luò)流量的深度報(bào)文檢查，獲取網(wǎng)絡(luò)流量的特征信息，并與業(yè)務(wù)識(shí)別特征庫(kù)中的特征進(jìn)行比對(duì)。 

◆將匹配結(jié)果送往識(shí)別處理模塊，并標(biāo)識(shí)特定網(wǎng)絡(luò)流量。如果存在多個(gè)匹配結(jié)果，選取優(yōu)先級(jí)較高的匹配結(jié)果進(jìn)行標(biāo)識(shí)。特定網(wǎng)絡(luò)流量一經(jīng)識(shí)別確定，該網(wǎng)絡(luò)流量的后續(xù)連接將不再進(jìn)行深度的報(bào)文檢查，直接將其網(wǎng)絡(luò)層和傳輸層信息與已知識(shí)別結(jié)果進(jìn)行比對(duì)，提高執(zhí)行效率。 

◆識(shí)別處理模塊將網(wǎng)絡(luò)流量的業(yè)務(wù)識(shí)別結(jié)果存儲(chǔ)到識(shí)別結(jié)果存儲(chǔ)模塊中，為網(wǎng)絡(luò)流量的統(tǒng)計(jì)分析提供依據(jù)。 

◆統(tǒng)計(jì)分析模塊從識(shí)別結(jié)果存儲(chǔ)模塊中讀取相關(guān)信息，并以曲線、餅圖、柱狀圖或者文本的方式將識(shí)別結(jié)果信息顯示，或以文件的形式輸出。 

◆在結(jié)果存儲(chǔ)模塊中保存的識(shí)別結(jié)果信息會(huì)輸出到網(wǎng)絡(luò)流量管理功能區(qū)，為實(shí)施網(wǎng)絡(luò)流量管理提供依據(jù)。

目前常用、典型的業(yè)務(wù)識(shí)別技術(shù)就是我們所熟知的DPI技術(shù)和DFI技術(shù)。

（1）DPI技術(shù)

PI是深度報(bào)文檢測(cè)(Deep Packet Inspection)的簡(jiǎn)稱，是一種典型的業(yè)務(wù)識(shí)別技術(shù)。DPI技術(shù)之所以稱為“深度”的檢測(cè)技術(shù)，是相對(duì)于傳統(tǒng)的檢測(cè)技術(shù)而言的。傳統(tǒng)的流量檢測(cè)技術(shù)僅獲取那些寄存在數(shù)據(jù)包網(wǎng)絡(luò)層和傳輸層協(xié)議頭中的基本信息，包括源/目的IP地址、源/目的傳輸層端口號(hào)、協(xié)議號(hào)，以及底層的連接狀態(tài)等。通過(guò)這些參數(shù)很難獲得足夠多的業(yè)務(wù)應(yīng)用信息。對(duì)于當(dāng)前P2P應(yīng)用、VoIP應(yīng)用、IPTV應(yīng)用被廣泛開展的情況，傳統(tǒng)的流量檢測(cè)技術(shù)已經(jīng)不能滿足網(wǎng)絡(luò)流量管理的需要了。

DPI技術(shù)對(duì)傳統(tǒng)的流量檢測(cè)技術(shù)進(jìn)行了“深度”擴(kuò)展，在獲取數(shù)據(jù)包基本信息的同時(shí)，對(duì)多個(gè)相關(guān)數(shù)據(jù)包的應(yīng)用層協(xié)議頭和協(xié)議負(fù)荷進(jìn)行掃描，獲取寄存在應(yīng)用層中的特征信息，對(duì)網(wǎng)絡(luò)流量進(jìn)行精細(xì)的檢查、監(jiān)控和分析。

DPI技術(shù)通常采用如下的數(shù)據(jù)包分析方法： 

◆傳輸層端口分析。許多應(yīng)用使用默認(rèn)的傳輸層端口號(hào)，例如HTTP協(xié)議使用80端口。 

◆特征字匹配分析。一些應(yīng)用在應(yīng)用層協(xié)議頭，或者應(yīng)用層負(fù)荷中的特定位置中包含特征字段，通過(guò)特征字段的識(shí)別實(shí)現(xiàn)數(shù)據(jù)包檢查、監(jiān)控和分析。 

◆通信交互過(guò)程分析。對(duì)多個(gè)會(huì)話的事務(wù)交互過(guò)程進(jìn)行監(jiān)控分析，包括包長(zhǎng)度、發(fā)送的包數(shù)目等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)業(yè)務(wù)的檢查、監(jiān)控和分析。

（2）DFI技術(shù)

DFI是深度流行為檢測(cè)(Deep Flow Inspection)的簡(jiǎn)稱，也是一種典型的業(yè)務(wù)識(shí)別技術(shù)。DFI技術(shù)是相對(duì)于DPl技術(shù)提出的，為了解決DPI技術(shù)的執(zhí)行效率、加密流量識(shí)別和頻繁升級(jí)等問(wèn)題而出現(xiàn)的。DFI更關(guān)注于網(wǎng)絡(luò)流量特征的通用性，因此，DFI技術(shù)并不對(duì)網(wǎng)絡(luò)流量進(jìn)行深度的報(bào)文檢測(cè)，而僅通過(guò)對(duì)網(wǎng)絡(luò)流量的狀態(tài)、網(wǎng)絡(luò)層和傳輸層信息、業(yè)務(wù)流持續(xù)時(shí)間、平均流速率、字節(jié)長(zhǎng)度分布等參數(shù)的統(tǒng)計(jì)分析，來(lái)獲取業(yè)務(wù)類型、業(yè)務(wù)狀態(tài)。

兩種技術(shù)的設(shè)計(jì)基本目標(biāo)都是為了實(shí)現(xiàn)業(yè)務(wù)識(shí)別，但是兩者在實(shí)現(xiàn)的著眼點(diǎn)和技術(shù)細(xì)節(jié)方面還是存在著較大區(qū)別的。從兩種技術(shù)的對(duì)比情況看，兩者互有優(yōu)勢(shì)，也互有短處，DPI技術(shù)適用于需要精細(xì)和準(zhǔn)確識(shí)別、精細(xì)管理的環(huán)境，而DFI技術(shù)適用于需要高效識(shí)別，粗放管理的環(huán)境。

2、流量統(tǒng)計(jì)分析

網(wǎng)絡(luò)流量管理的基本目標(biāo)是了解網(wǎng)絡(luò)、業(yè)務(wù)和用戶資源的使用情況，找到性能瓶頸并進(jìn)行精細(xì)化管理，對(duì)用戶行為進(jìn)行分析和控制，以及對(duì)信息安全防護(hù)。

在網(wǎng)絡(luò)中多個(gè)層面的網(wǎng)絡(luò)設(shè)備中集成業(yè)務(wù)識(shí)別功能，如骨干節(jié)點(diǎn)之間、服務(wù)提供商互聯(lián)節(jié)點(diǎn)之間、國(guó)際出口、城域網(wǎng)出口和城域網(wǎng)接入層等，或者單獨(dú)部署具備業(yè)務(wù)識(shí)別功能的網(wǎng)絡(luò)設(shè)備對(duì)網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)分析和趨勢(shì)判斷。通過(guò)流量統(tǒng)計(jì)分析，網(wǎng)絡(luò)管理者能夠知道當(dāng)前網(wǎng)絡(luò)中的業(yè)務(wù)流量的類型、帶寬、時(shí)間和空間分布、流向等信息。

3、流量管理

將流量識(shí)別能力添加到網(wǎng)絡(luò)流量管理中，能夠幫助網(wǎng)絡(luò)管理者對(duì)網(wǎng)絡(luò)資源和業(yè)務(wù)資源進(jìn)行帶寬控制和資源調(diào)度。具備業(yè)務(wù)識(shí)別能力的網(wǎng)絡(luò)流量管理將具備P2P應(yīng)用的管理能力，通過(guò)對(duì)P2P流量的抑制來(lái)提升傳統(tǒng)數(shù)據(jù)業(yè)務(wù)的用戶體驗(yàn)度。具備業(yè)務(wù)識(shí)別能力的網(wǎng)絡(luò)流量管理還能夠?qū)?yán)重影響業(yè)務(wù)運(yùn)營(yíng)者收入的未經(jīng)許可的業(yè)務(wù)進(jìn)行抑制。通過(guò)對(duì)VoIP信令流量和媒體流量的關(guān)聯(lián)檢測(cè)和統(tǒng)計(jì)分析，通過(guò)截?cái)嗝襟w數(shù)據(jù)包、偽裝信令報(bào)文等方式對(duì)VoIP業(yè)務(wù)進(jìn)行流量管理。通過(guò)綜合使用網(wǎng)絡(luò)層、傳輸層和應(yīng)用層檢測(cè)技術(shù)，對(duì)未經(jīng)許可的寬帶私接用戶采取中斷連接、主動(dòng)告警、分時(shí)控制等多種管理動(dòng)作，實(shí)現(xiàn)對(duì)未經(jīng)許可的寬帶私接的流量管理。業(yè)務(wù)識(shí)別還能夠幫助網(wǎng)絡(luò)流量管理實(shí)現(xiàn)業(yè)務(wù)資源的調(diào)度，業(yè)務(wù)識(shí)別能夠獲得業(yè)務(wù)資源使用、業(yè)務(wù)狀態(tài)的實(shí)時(shí)隋況。當(dāng)某一業(yè)務(wù)服務(wù)器負(fù)載較大時(shí)，可以進(jìn)行全局的業(yè)務(wù)資源負(fù)載均衡，平均的承擔(dān)業(yè)務(wù)請(qǐng)求；同時(shí)也能夠?qū)τ脩舻臉I(yè)務(wù)請(qǐng)求進(jìn)行調(diào)度，決定是否繼續(xù)響應(yīng)用戶新的業(yè)務(wù)請(qǐng)求，或者根據(jù)用戶的優(yōu)先級(jí)，優(yōu)先響應(yīng)高優(yōu)先級(jí)用戶的業(yè)務(wù)請(qǐng)求，提升業(yè)務(wù)運(yùn)營(yíng)效率。

4、其他方面

對(duì)于網(wǎng)絡(luò)流量管理來(lái)說(shuō)，在網(wǎng)絡(luò)中的多個(gè)層面的網(wǎng)絡(luò)設(shè)備中集成業(yè)務(wù)識(shí)別功能，或者單獨(dú)部署具備業(yè)務(wù)識(shí)別功能的網(wǎng)絡(luò)設(shè)備，和防火墻等網(wǎng)絡(luò)安全設(shè)備協(xié)同構(gòu)建一個(gè)主動(dòng)的安全威脅防御體系，提升整個(gè)網(wǎng)絡(luò)的安全防護(hù)能力。

具備業(yè)務(wù)識(shí)別能力的網(wǎng)絡(luò)流量管理具有主動(dòng)的流量特征識(shí)別分析能力，能夠主動(dòng)的發(fā)現(xiàn)諸如DDoS攻擊、病毒和木馬等異常流量，較好的彌補(bǔ)其他網(wǎng)絡(luò)安全設(shè)備，如防火墻、入侵防護(hù)系統(tǒng)(IPS)和統(tǒng)一威脅管理(UTM)等的不足，提升其主動(dòng)發(fā)現(xiàn)安全威脅的能力，并能夠及時(shí)的向其他網(wǎng)絡(luò)安全設(shè)備發(fā)出告警，從安全威脅源頭開始就進(jìn)行主動(dòng)的防御。

此外，具備業(yè)務(wù)識(shí)別能力的網(wǎng)絡(luò)流量管理還能夠獲取并保存網(wǎng)絡(luò)流量的網(wǎng)絡(luò)層信息(例如，源/目的IP地址、用戶標(biāo)識(shí)ID等信息)，通過(guò)這些信息，網(wǎng)絡(luò)管理者能夠進(jìn)行有效的安全威脅的溯源定位。 #p#

二、 常見的網(wǎng)絡(luò)流量

當(dāng)前隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富和發(fā)展，網(wǎng)絡(luò)流量也隨之變得復(fù)雜和種類繁多起來(lái)，下面給出幾種最為常見的網(wǎng)絡(luò)流量，以方便網(wǎng)絡(luò)管理員在實(shí)際的工作中著重對(duì)他們監(jiān)測(cè)和管理： 

◆HTTP流量：HTTP是互聯(lián)網(wǎng)TCP/IP協(xié)議族中的一種應(yīng)用層協(xié)議，被廣泛適用于網(wǎng)頁(yè)流量、網(wǎng)絡(luò)下載等。HTTP協(xié)議正在取代傳統(tǒng)文件下載的主要應(yīng)用層協(xié)議FTP，此外基于HTTP的網(wǎng)頁(yè)版郵箱也有取代傳統(tǒng)的POP3協(xié)議的趨勢(shì)。根據(jù)國(guó)外媒體報(bào)道，最近發(fā)布的一個(gè)研究報(bào)告指出，隨著YouTube等視頻共享網(wǎng)站的拉動(dòng)，傳統(tǒng)的HTTP協(xié)議的網(wǎng)絡(luò)流量在過(guò)去四年里首次超過(guò)了P2P應(yīng)用的流量?；贖TTP協(xié)議的互聯(lián)網(wǎng)流量已經(jīng)占據(jù)了全部流量的46%。排名第二的是P2P應(yīng)用的流量，其占據(jù)了37%的比例。排在后面的流量分別屬于新聞組（9%）、非HTTP協(xié)議的視頻流媒體（3%）、網(wǎng)絡(luò)游戲（2%），以及VOIP網(wǎng)絡(luò)電話（1%）。 

◆FTP流量：FTP是互聯(lián)網(wǎng)中一種應(yīng)用非常廣泛的服務(wù)，用戶通過(guò)其來(lái)從服務(wù)器獲取需要的文檔、資料、音頻、視頻等。從互聯(lián)網(wǎng)出現(xiàn)的開始，它就一直是用戶使用頻率最高的應(yīng)用服務(wù)之一，重要性僅次于HTTP和SMTP。而隨著P2P應(yīng)用的出現(xiàn)，其重要性地位雖然有所降低，但是仍然是用戶們下載文件不可替代的重要應(yīng)用和途徑之一。 

◆SMTP流量：電子郵件是整個(gè)互聯(lián)網(wǎng)業(yè)務(wù)重要的組成部分。據(jù)統(tǒng)計(jì)，四分之三以上的用戶上網(wǎng)的主要目的是收發(fā)郵件，每天有十?dāng)?shù)億封電子郵件在全球傳遞。電子郵件已成為網(wǎng)絡(luò)用戶不可或缺的需要。并且，電子郵件的廉價(jià)和操作簡(jiǎn)便在給人們帶來(lái)巨大便利的同時(shí)，也誘使有些人將它作為大量散發(fā)自己信息的工具，最終導(dǎo)致了互聯(lián)網(wǎng)世界中垃圾郵件的泛濫。垃圾郵件問(wèn)題已經(jīng)極大地消耗了網(wǎng)絡(luò)資源，并給人們帶來(lái)了極大的不便。據(jù)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)（ISC）2005年第一次反垃圾郵件狀況調(diào)查顯示，中國(guó)郵件用戶2005年4月平均每人每天收到郵件16.8封，占收到郵件總數(shù)的60.87%。因此，SMTP流量目前占據(jù)相當(dāng)大的互聯(lián)網(wǎng)流量比重。 

◆VoIP流量：2006年全球IP電話用戶從1030萬(wàn)增長(zhǎng)到1870萬(wàn)，增幅達(dá)83%。2007年VoIP通話量將達(dá)到全部通話量的75%。數(shù)據(jù)顯示，PC2Phone的IP電話付費(fèi)用戶數(shù)量超過(guò)470萬(wàn)人，算上運(yùn)營(yíng)商IP電話服務(wù)的預(yù)定用戶的話，這一數(shù)字將達(dá)到2400萬(wàn)。因此，互聯(lián)網(wǎng)上VoIP的流量也是非常值得管理員關(guān)注的。 

◆P2P流量：報(bào)告指出，目前網(wǎng)絡(luò)帶寬“消費(fèi)大戶”是P2P文件共享，在中東占據(jù)了49%，東歐地區(qū)占據(jù)了84%。從全球來(lái)看，晚上時(shí)段的網(wǎng)絡(luò)帶寬有95%被P2P占據(jù)。在所有P2P工具中，BitTorrent最受歡迎，在南歐地區(qū)，電驢處于主導(dǎo)地位。在P2P內(nèi)容方面并未和去年發(fā)生變化，主要還是視頻，最受歡迎的是最新上映的電影、色情電影和音樂(lè)。其中在中東，電子書在P2P內(nèi)容中比例較高，計(jì)算機(jī)游戲在南歐地區(qū)比例較高。 

◆Streaming流量：隨著諸如PPLive、PPStream等視頻軟件的出現(xiàn)，視頻直播和點(diǎn)播成為廣大互聯(lián)網(wǎng)用戶觀看節(jié)目和網(wǎng)上娛樂(lè)的最佳生活方式，因此其流量也在不斷的劇增當(dāng)中。并且，隨著P2P技術(shù)的發(fā)展，P2P Streaming也成為今后互聯(lián)網(wǎng)中一種非常重要的應(yīng)用。 #p#

三、 網(wǎng)絡(luò)流量捕捉：圖形化工具Wireshark

1、Wireshark簡(jiǎn)介

Ethereal是一個(gè)開放源碼的網(wǎng)絡(luò)分析系統(tǒng)，也是目前最好的開放源碼的網(wǎng)絡(luò)協(xié)議分析器，支持Linux和windows平臺(tái)。Ethereal起初由Gerald Combs開發(fā)，隨后由一個(gè)松散的etheral團(tuán)隊(duì)組織進(jìn)行維護(hù)開發(fā)。它目前所提供的強(qiáng)大的協(xié)議分析功能完全可以媲美商業(yè)的網(wǎng)絡(luò)分析系統(tǒng)，自從1998年發(fā)布最早的0.2版本至今，大量的志愿者為ethereal添加新的協(xié)議解析器，如今ethereal已經(jīng)支持五百多種協(xié)議解析。另外，網(wǎng)絡(luò)分析系統(tǒng)首先依賴于一套捕捉網(wǎng)絡(luò)數(shù)據(jù)包的函數(shù)庫(kù)。這套函數(shù)庫(kù)工作在網(wǎng)絡(luò)分析系統(tǒng)模塊的最底層。作用是從網(wǎng)卡取得數(shù)據(jù)包或者根據(jù)過(guò)濾規(guī)則取出數(shù)據(jù)包的子集，再轉(zhuǎn)交給上層分析模塊。從協(xié)議上說(shuō)，這套函數(shù)庫(kù)將一個(gè)數(shù)據(jù)包從鏈路層接收，至少將其還原至傳輸層以上，以供上層分析。6月8號(hào)，Ethereal的作者Gerald Coombs宣布了離開NIS的消息，因而Ethereal現(xiàn)改名為Wireshark。

網(wǎng)絡(luò)分析系統(tǒng)首先依賴于一套捕捉網(wǎng)絡(luò)數(shù)據(jù)包的函數(shù)庫(kù)。這套函數(shù)庫(kù)工作在在網(wǎng)絡(luò)分析系統(tǒng)模塊的最底層。作用是從網(wǎng)卡取得數(shù)據(jù)包或者根據(jù)過(guò)濾規(guī)則取出數(shù)據(jù)包的子集，再轉(zhuǎn)交給上層分析模塊。從協(xié)議上說(shuō)，這套函數(shù)庫(kù)將一個(gè)數(shù)據(jù)包從鏈路層接收，至少將其還原至傳輸層以上，以供上層分析。

在Linux系統(tǒng)中，1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包過(guò)濾器的一種的實(shí)現(xiàn)，BPF（BSD Packet Filter）。Libpcap是一個(gè)基于BPF的開放源碼的捕包函數(shù)庫(kù)?，F(xiàn)有的大部分Linux捕包系統(tǒng)都是基于這套函數(shù)庫(kù)或者是在它基礎(chǔ)上做一些針對(duì)性的改進(jìn)。在window系統(tǒng)中，意大利人Fulvio Risso和Loris Degioanni提出并實(shí)現(xiàn)了Winpcap函數(shù)庫(kù)，作者稱之為NPF。由于NPF的主要思想就是來(lái)源于BPF，它的設(shè)計(jì)目標(biāo)就是為windows系統(tǒng)提供一個(gè)功能強(qiáng)大的開發(fā)式數(shù)據(jù)包捕獲平臺(tái)，希望在Linux系統(tǒng)中的網(wǎng)絡(luò)分析工具經(jīng)過(guò)簡(jiǎn)單編譯以后也可以移植到windows中，因此這兩種捕包架構(gòu)是非?，F(xiàn)實(shí)的。就實(shí)現(xiàn)來(lái)說(shuō)提供的函數(shù)調(diào)用接口也是一致的。Ethereal網(wǎng)絡(luò)分析系統(tǒng)也需要一個(gè)底層的抓包平臺(tái)，在Linux中是采用Libpcap函數(shù)庫(kù)抓包，在windows系統(tǒng)中采用winpcap函數(shù)庫(kù)抓包。

2、層次化的數(shù)據(jù)包協(xié)議分析方法

取得捕包函數(shù)捕回的數(shù)據(jù)包后就需要進(jìn)行協(xié)議分析和協(xié)議還原工作了。由于OSI的7層協(xié)議模型，協(xié)議數(shù)據(jù)是從上到下封裝后發(fā)送的。對(duì)于協(xié)議分析需要從下至上進(jìn)行。首先對(duì)網(wǎng)絡(luò)層的協(xié)議識(shí)別后進(jìn)行組包還原然后脫去網(wǎng)絡(luò)層協(xié)議頭。將里面的數(shù)據(jù)交給傳輸層分析，這樣一直進(jìn)行下去直到應(yīng)用層。由于網(wǎng)絡(luò)協(xié)議種類很多，就Ethereal所識(shí)別的500多種協(xié)議來(lái)說(shuō)，為了使協(xié)議和協(xié)議間層次關(guān)系明顯。從而對(duì)數(shù)據(jù)流里的各個(gè)層次的協(xié)議能夠逐層處理。Ethereal系統(tǒng)采用了協(xié)議樹的方式。

圖1所示就是一個(gè)簡(jiǎn)單的協(xié)議樹。如果協(xié)議A的所有數(shù)據(jù)都是封裝在協(xié)議B里的，那么這個(gè)協(xié)議A就是協(xié)議B是另外一個(gè)協(xié)議的兒子節(jié)點(diǎn)（比如圖中的TCP和UDP協(xié)議就是IP協(xié)議的兒子節(jié)點(diǎn)）。我們將最低層的無(wú)結(jié)構(gòu)數(shù)據(jù)流作為根接點(diǎn)。那么具有相同父節(jié)點(diǎn)的協(xié)議成為兄弟節(jié)點(diǎn)。那么這些擁有同樣父協(xié)議兄弟節(jié)點(diǎn)協(xié)議如何互相區(qū)分了？Ethereal系統(tǒng)采用協(xié)議的特征字來(lái)識(shí)別。每個(gè)協(xié)議會(huì)注冊(cè)自己的特征字。這些特征字給自己的子節(jié)點(diǎn)協(xié)議提供可以互相區(qū)分開來(lái)的標(biāo)識(shí)。比如tcp協(xié)議的port字段注冊(cè)后。Tcp.port=21就可以認(rèn)為是ftp協(xié)議，特征字可以是協(xié)議規(guī)范定義的任何一個(gè)字段。比如ip協(xié)議就可以定義proto字段為一個(gè)特征字。

在Ethereal中注冊(cè)一個(gè)協(xié)議解析器首先要指出它的父協(xié)議是什么。另外還要指出自己區(qū)別于父節(jié)點(diǎn)下的兄弟接點(diǎn)協(xié)議的特征。比如ftp協(xié)議。在Ethereal中他的父接點(diǎn)是tcp協(xié)議，它的特征就是tcp協(xié)議的port字段為21。這樣當(dāng)一個(gè)端口為21的tcp數(shù)據(jù)流來(lái)到時(shí)。首先由tcp協(xié)議注冊(cè)的解析模塊處理，處理完之后通過(guò)查找協(xié)議樹找到自己協(xié)議下面的子協(xié)議，判斷應(yīng)該由那個(gè)子協(xié)議來(lái)執(zhí)行，找到正確的子協(xié)議后，就轉(zhuǎn)交給ftp注冊(cè)的解析模塊處理。這樣由根節(jié)點(diǎn)開始一層層解析下去。

由于采用了協(xié)議樹加特征字的設(shè)計(jì)，這個(gè)系統(tǒng)在協(xié)議解析上由了很強(qiáng)的擴(kuò)展性，增加一個(gè)協(xié)議解析器只需要將解析函數(shù)掛到協(xié)議樹的相應(yīng)節(jié)點(diǎn)上即可。

圖1  協(xié)議樹簡(jiǎn)單圖示

3、基于插件技術(shù)的協(xié)議分析器

所謂插件技術(shù)，就是在程序的設(shè)計(jì)開發(fā)過(guò)程中，把整個(gè)應(yīng)用程序分成宿主程序和插件兩個(gè)部分，宿主程序與插件能夠相互通信，并且，在宿主程序不變的情況下，可以通過(guò)增減插件或修改插件來(lái)調(diào)整應(yīng)用程序的功能。運(yùn)用插件技術(shù)可以開發(fā)出伸縮性良好、便于維護(hù)的應(yīng)用程序。它著名的應(yīng)用實(shí)例有：媒體播放器winamp、微軟的網(wǎng)絡(luò)瀏覽器IE等。

由于現(xiàn)在網(wǎng)絡(luò)協(xié)議種類繁多，為了可以隨時(shí)增加新的協(xié)議分析器，一般的協(xié)議分析器都采用插件技術(shù)，這樣如果需要對(duì)一個(gè)新的協(xié)議分析只需要開發(fā)編寫這個(gè)協(xié)議分析器并調(diào)用注冊(cè)函數(shù)在系統(tǒng)注冊(cè)就可以使用了。通過(guò)增加插件使程序有很強(qiáng)的可擴(kuò)展性，各個(gè)功能模塊內(nèi)聚。

4、安裝Wireshark

Wireshark可以在http://www.wireshark.org/download.html上下載，該軟件有極其方便和友好的圖形用戶界面，并且能夠使得用戶通過(guò)圖形界面的配置和選擇，針對(duì)多塊網(wǎng)卡、多個(gè)協(xié)議進(jìn)行顯示，效果非常好。目前最新版本為：Wireshark 1.0.3。安裝該軟件請(qǐng)按照如下步驟進(jìn)行：

//將下載的最新版本軟件拷貝到臨時(shí)文件夾
# cp wireshark-1.0.3.tar.gz /usr/local/src/
//切換到臨時(shí)文件夾目錄
# cd /usr/local/src/
//解壓縮文件
# tar -xvf wireshark-1.0.3.tar.gz

另外，同Tcpdump一樣，在編譯Ethereal之前應(yīng)先確定已經(jīng)安裝pcap庫(kù)（libpcap），這是編譯Wireshark時(shí)所必需的。如果該庫(kù)已經(jīng)安裝，就可以執(zhí)行下面的命令來(lái)編譯并安裝Wireshark：

# cd wireshark-1.0.3
# ./configure
# make
# make install

當(dāng)編譯并安裝好Wireshark后，就可以執(zhí)行“wireshark”命令來(lái)啟動(dòng)Wireshark。

5、使用Wireshark

（1）捕包選項(xiàng)

抓包是進(jìn)行協(xié)議分析的第一步驟，在Wireshark中，有幾個(gè)抓包的相關(guān)選項(xiàng)需要尤其注意（如圖1和2所示）： 

◆Interface：指定在哪個(gè)接口（網(wǎng)卡）上抓包。一般情況下都是單網(wǎng)卡，所以使用缺省的就可以了Limit each packet: 限制每個(gè)包的大小，缺省情況不限制。 

◆Capture packets in promiscuous mode：確定是否打開混雜模式。如果打開，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個(gè)選項(xiàng)。 

◆Filter：過(guò)濾器。只抓取滿足過(guò)濾規(guī)則的包。 

◆File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。use ring buffer：是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。值得注意的是：循環(huán)緩沖只有在寫文件的時(shí)候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時(shí)回卷。其他的項(xiàng)選擇缺省的就可以了。  

圖1  Wireshark的捕包界面  

圖2  Wireshark捕包選項(xiàng)設(shè)置示意圖

（2）協(xié)議過(guò)濾（Filter）選項(xiàng)

由于網(wǎng)絡(luò)中的協(xié)議五花八門，Http、Ftp、ARP、ICMP等協(xié)議等都在抓包的范圍之列，因而給協(xié)議分析工作帶來(lái)了一些麻煩。為了對(duì)特定的協(xié)議進(jìn)行分析統(tǒng)計(jì)，則可以使用Ehereal提供的Filter選項(xiàng)來(lái)對(duì)數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾，對(duì)特定的協(xié)議進(jìn)行提取，再進(jìn)行分析。圖3（a）給出了使用Capture菜單下的Capture Filter選項(xiàng)進(jìn)行過(guò)濾設(shè)置的示意，該軟件已經(jīng)提供了許多協(xié)議的Filter供用戶選擇使用，而用戶也可以自行添加；圖3（b）則顯示了通過(guò)在工具欄的Filter編輯框內(nèi)輸入?yún)f(xié)議名稱對(duì)已捕捉的包進(jìn)行過(guò)濾的結(jié)果，圖中顯示了過(guò)濾后所得Http協(xié)議的數(shù)據(jù)包情況。用戶也可以通過(guò)輸入Ftp、ARP或者TCP等字段來(lái)獲取相應(yīng)的協(xié)議內(nèi)容。  

圖3  協(xié)議過(guò)濾選項(xiàng)示意圖

注意：圖3（a）和3（b）所示的設(shè)置方法的不同在于：前者設(shè)置后該工具只對(duì)選取的協(xié)議進(jìn)行捕包；而后者則是在所有捕獲的數(shù)據(jù)包中（包括各種協(xié)議）選擇用戶設(shè)定的協(xié)議進(jìn)行提取和顯示。

（3）統(tǒng)計(jì)選項(xiàng)（statistics）

統(tǒng)計(jì)選項(xiàng)用于對(duì)過(guò)濾后的各協(xié)議類型進(jìn)行統(tǒng)計(jì)，從而從宏觀上對(duì)網(wǎng)絡(luò)中的流量進(jìn)行統(tǒng)計(jì)分析和全局把握。圖4給出了操作的流程和顯示結(jié)果。    

圖4  統(tǒng)計(jì)選項(xiàng)示意圖 #p#

四、 網(wǎng)絡(luò)流量捕捉：命令行工具tcpdump

1、tcpdump簡(jiǎn)介

tcpdump可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的“頭”完全截獲下來(lái)提供分析。它支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過(guò)濾，并提供and、or、not等邏輯語(yǔ)句來(lái)幫助你去掉無(wú)用的信息。tcpdump就是一種免費(fèi)的網(wǎng)絡(luò)分析工具，尤其是它提供了源代碼，公開了接口，因此具備很強(qiáng)的可擴(kuò)展性，對(duì)于網(wǎng)絡(luò)維護(hù)和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系統(tǒng)中，由于它需要將網(wǎng)絡(luò)界面設(shè)置為混雜模式，普通用戶不能正常執(zhí)行，但具備root權(quán)限的用戶可以直接執(zhí)行它來(lái)獲取網(wǎng)絡(luò)上的信息。因此系統(tǒng)中存在網(wǎng)絡(luò)分析工具主要不是對(duì)本機(jī)安全的威脅，而是對(duì)網(wǎng)絡(luò)上的其他計(jì)算機(jī)的安全存在威脅。另外，由于其相對(duì)于Wireshark來(lái)說(shuō)，沒(méi)有非常詳細(xì)的用戶界面，所以非常適合于在終端上使用，網(wǎng)管員可以通過(guò)常見的命令行來(lái)進(jìn)行流量捕捉和過(guò)濾等操作，所以非常方便，這也是它一直廣泛為網(wǎng)絡(luò)管理員歡迎和使用的原因。

2、 安裝tcpdump

在linux下tcpdump的安裝十分簡(jiǎn)單，一般是以源程序的形式安裝。其實(shí)，Linux一個(gè)最大的誘人之處就是在她上面有很多軟件是提供源程序的，人們可以修改源程序來(lái)滿足自己的特殊的需要。所以我特別建議朋友們都采取這種源程序的安裝方法。最新的tcpdump的源代碼可以在網(wǎng)站http://www.tcpdump.org/上即時(shí)獲得。

在源程序的安裝方式中，我們首先要取得tcpdump的源程序分發(fā)包。目前，該源程序包的最新版本為：tcpdump-4.0.0.tar.gz，安裝的具體過(guò)程如下所示：

（1）解壓縮源代碼包

#tar xvfz tcpdump-4.0.0.tar.gz

（2）做好編譯源程序前的準(zhǔn)備活動(dòng)

在編譯源程序之前，需要已經(jīng)確定庫(kù)文件libpcap已經(jīng)安裝完畢，這個(gè)庫(kù)文件是tcpdump軟件所需的庫(kù)文件。同樣，你同時(shí)還要有一個(gè)標(biāo)準(zhǔn)的c語(yǔ)言編譯器。在linux下標(biāo)準(zhǔn)的c 語(yǔ)言編譯器一般是gcc。在tcpdump的源程序目錄中。有一個(gè)文件是Makefile.in，configure命令就是從Makefile.in文件中自動(dòng)產(chǎn)生Makefile文件。在Makefile.in文件中，可以根據(jù)系統(tǒng)的配置來(lái)修改BINDEST和MANDEST這兩個(gè)宏定義，缺省值如下：

BINDEST = @sbindir@
MANDEST = @mandir@

第一個(gè)宏值表明安裝tcpdump的二進(jìn)制文件的路徑名，第二個(gè)表明tcpdump的man幫助頁(yè)的路徑名,用戶可以修改它們來(lái)滿足系統(tǒng)的需求。

（3）編譯源程序

使用源程序目錄中的configure腳本，它從系統(tǒng)中讀出各種所需的屬性。并且根據(jù)Makefile.in文件自動(dòng)生成Makefile文件，以便編譯使用。make 命令則根據(jù)Makefile文件中的規(guī)則編譯tcpdump的源程序。使用make install命令安裝編譯好的tcpdump的二進(jìn)制文件。

具體的編譯步驟，如下命令所示：

# . /configure
# make
# make install

3、 使用tcpdump

普通情況下，直接啟動(dòng)tcpdump將監(jiān)視第一個(gè)網(wǎng)絡(luò)界面上所有流過(guò)的數(shù)據(jù)包。如下命令所示：

tcpdump支持相當(dāng)多的不同參數(shù)，如使用-i參數(shù)指定tcpdump監(jiān)聽的網(wǎng)絡(luò)界面，這在計(jì)算機(jī)具有多個(gè)網(wǎng)絡(luò)界面時(shí)非常有用，使用-c參數(shù)指定要監(jiān)聽的數(shù)據(jù)包數(shù)量，使用-w參數(shù)指定將監(jiān)聽到的數(shù)據(jù)包寫入文件中保存，等等。

然而更復(fù)雜的tcpdump參數(shù)是用于過(guò)濾目的，這是因?yàn)榫W(wǎng)絡(luò)中流量很大，如果不加分辨將所有的數(shù)據(jù)包都截留下來(lái)，數(shù)據(jù)量太大，反而不容易發(fā)現(xiàn)需要的數(shù)據(jù)包。使用這些參數(shù)定義的過(guò)濾規(guī)則可以截留特定的數(shù)據(jù)包，以縮小目標(biāo)，才能更好的分析網(wǎng)絡(luò)中存在的問(wèn)題。tcpdump使用參數(shù)指定要監(jiān)視數(shù)據(jù)包的類型、地址、端口等，根據(jù)具體的網(wǎng)絡(luò)問(wèn)題，充分利用這些過(guò)濾規(guī)則就能達(dá)到迅速定位故障的目的。請(qǐng)使用man tcpdump查看這些過(guò)濾規(guī)則的具體用法。

（1）tcpdump的選項(xiàng)介紹

tcpdump的選項(xiàng)非常多，下面給出一些常用的命令選項(xiàng)供大家使用時(shí)參考： 

a：將網(wǎng)絡(luò)地址和廣播地址轉(zhuǎn)變成名字； 

-d：將匹配信息包的代碼以人們能夠理解的匯編格式給出 

-dd：將匹配信息包的代碼以c語(yǔ)言程序段的格式給出； 

-ddd：將匹配信息包的代碼以十進(jìn)制的形式給出； 

-e：在輸出行打印出數(shù)據(jù)鏈路層的頭部信息； 

-f：將外部的Internet地址以數(shù)字的形式打印出來(lái)； 

-l：使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式； 

-n：不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字； 

-t：在輸出的每一行不打印時(shí)間戳； 

-v：輸出一個(gè)稍微詳細(xì)的信息，例如在ip包中可以包括ttl和服務(wù)類型的信息； 

-vv：輸出詳細(xì)的報(bào)文信息； 

-c：在收到指定的包的數(shù)目后，tcpdump就會(huì)停止； 

-F：從指定的文件中讀取表達(dá)式,忽略其它的表達(dá)式； 

-i：指定監(jiān)聽的網(wǎng)絡(luò)接口； 

-r：從指定的文件中讀取包(這些包一般通過(guò)-w選項(xiàng)產(chǎn)生)； 

-w：直接將包寫入文件中，并不分析和打印出來(lái)； 

-T：將監(jiān)聽到的包直接解釋為指定的類型的報(bào)文，常見的類型有rpc （遠(yuǎn)程過(guò)程調(diào)用）和snmp（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議；）

（2）tcpdump的表達(dá)式介紹

表達(dá)式是一個(gè)正則表達(dá)式，tcpdump利用它作為過(guò)濾報(bào)文的條件，如果一個(gè)報(bào)文滿足表達(dá)式的條件，則這個(gè)報(bào)文將會(huì)被捕獲。如果沒(méi)有給出任何條件，則網(wǎng)絡(luò)上所有的信息包將會(huì)被截獲。在表達(dá)式中一般如下幾種類型的關(guān)鍵字。

一種是關(guān)于類型的關(guān)鍵字，主要包括host，net，port, 例如 host 211.78.3.2，指明 211.78.3.2是一臺(tái)主機(jī)，net 210.0.0.0 指明 210.0.0.0是一個(gè)網(wǎng)絡(luò)地址，port 25指明端口號(hào)是25。如果沒(méi)有指定類型，缺省的類型是host。

第二種是確定傳輸方向的關(guān)鍵字，主要包括src , dst ,dst or src, dst and src ,這些關(guān)鍵字指明了傳輸?shù)姆较?。舉例說(shuō)明，src 211.78.3.2 ,指明ip包中源地址是211.78.3.2 , dst net 210.0.0.0 指明目的網(wǎng)絡(luò)地址是210.0.0.0。如果沒(méi)有指明方向關(guān)鍵字，則缺省是src or dst關(guān)鍵字。

第三種是協(xié)議的關(guān)鍵字，主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò))上的特定的網(wǎng)絡(luò)協(xié)議，實(shí)際上它是"ether"的別名，fddi和ether具有類似的源地址和目的地址，所以可以將fddi協(xié)議包當(dāng)作ether的包進(jìn)行處理和分析。其他的幾個(gè)關(guān)鍵字就是指明了監(jiān)聽的包的協(xié)議內(nèi)容。如果沒(méi)有指定任何協(xié)議，則tcpdump將會(huì)監(jiān)聽所有協(xié)議的信息包。除了這三種類型的關(guān)鍵字之外，其他重要的關(guān)鍵字如下：gateway, broadcast,less,greater,還有三種邏輯運(yùn)算，取非運(yùn)算是 'not ' '! ', 與運(yùn)算是'and','&&';或運(yùn)算是'or' ,'││'；這些關(guān)鍵字可以組合起來(lái)構(gòu)成強(qiáng)大的組合條件來(lái)滿足人們的需要，下面舉幾個(gè)例子來(lái)進(jìn)行詳細(xì)說(shuō)明：

a) 截獲所有211.78.3.2的主機(jī)收到的和發(fā)出的所有的數(shù)據(jù)包：

#tcpdump host 211.78.3.2

b) 截獲主機(jī)211.78.3.2和主機(jī)211.78.3.3或211.78.3.4的通信，使用命令：

#tcpdump host 211.78.3.2 and \ (211.78.3.2 or 211.78.3.4 \) 

c) 獲取主機(jī)211.78.3.2除了和主機(jī)211.78.3.6之外所有主機(jī)通信的ip包，使用命令：

#tcpdump ip host 211.78.3.2 and ! 211.78.3.6

d) 獲取主機(jī)211.78.3.1接收或發(fā)出的telnet包，使用如下命令：

#tcpdump tcp port 23 host 211.78.3.1

(3)查看tcpdump的輸出結(jié)果

由于tcpdump的捕包功能強(qiáng)大，因而其輸出也是非常豐富的，下面我們介紹幾種典型的tcpdump命令的輸出信息。

a) 查看數(shù)據(jù)鏈路層頭信息

使用如下命令

#tcpdump --e host patterson

patterson是一臺(tái)裝有l(wèi)inux的主機(jī)，其MAC地址是0：58：46：32：EF：AF，S_Server是一臺(tái)裝有SOLARIC的SUN工作站，它的MAC地址是7：43：25：98：6E：AF；上一條命令的輸出結(jié)果如下所示：

23:49:35.102598 eth0 < 7:43:25:98:6e:af 0:58:46:32:ef:af ip 60: S_Server.33357 >
patterson.telnet 0:0(0) ack 22535 win 8760 (DF)

分析：23:49:35是顯示的時(shí)間，102598是ID號(hào)，eth0 <表示從網(wǎng)絡(luò)接口eth0 接受該數(shù)據(jù)包，eth0 >表示從網(wǎng)絡(luò)接口設(shè)備發(fā)送數(shù)據(jù)包, 7:43:25:98:6e:af是主機(jī)S_Server的MAC地址,它表明是從源地址S_Server發(fā)來(lái)的數(shù)據(jù)包. 0:58:46:32:ef:af是主機(jī)PATTERSON的MAC地址,表示該數(shù)據(jù)包的目的地址是PATTERSON . ip 是表明該數(shù)據(jù)包是IP數(shù)據(jù)包,60 是數(shù)據(jù)包的長(zhǎng)度, S_Server.33357 > patterson.telnet 表明該數(shù)據(jù)包是從主機(jī)S_Server的33357端口發(fā)往主機(jī)PATTERSON的TELNET(23)端口. ack 22535 表明對(duì)序列號(hào)是222535的包進(jìn)行響應(yīng). win 8760表明發(fā)送窗口的大小是8760.

b) ARP包的tcpdump輸出信息

使用如下命令

#tcpdump arp 

得到的輸出結(jié)果是：

23:52:42.203783 eth0 > arp who-has route tell patterson (0:58:46:32:ef:af)
23:52:42.204025 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:58:46:32:ef:af)

分析: 23:52:42是時(shí)間戳, 203783是ID號(hào), eth0 >表明從主機(jī)發(fā)出該數(shù)據(jù)包, arp表明是ARP請(qǐng)求包, who-has route tell patterson表明是主機(jī)patterson請(qǐng)求主機(jī)ROUTE的MAC地址。0:58:46:32:ef:af是主機(jī)patterson的MAC地址。

c) TCP包的輸出信息

src > dst: flags data-seqno ack window urgent options

src > dst:表明從源地址到目的地址,flags是TCP包中的標(biāo)志信息,S是SYN標(biāo)志, F(FIN), P (PUSH) , R (RST)，"." (沒(méi)有標(biāo)記); data-seqno是數(shù)據(jù)包中的數(shù)據(jù)的順序號(hào),ack是下次期望的順序號(hào),window是接收緩存的窗口大小,urgent表明數(shù)據(jù)包中是否有緊急指針.Options是選項(xiàng).

d) UDP包的輸出信息

用tcpdump捕獲的UDP包的一般輸出信息是：

route.port1 > patterson.port2: udp length

route.port1 > patterson.port2: udp length

UDP十分簡(jiǎn)單，上面的輸出行表明從主機(jī)ROUTE的port1端口發(fā)出的一個(gè)UDP數(shù)據(jù)包到主機(jī)patterson的port2端口，類型是UDP，包的長(zhǎng)度是length。 #p#

五、 網(wǎng)絡(luò)流量分析-NTOP

1、NTOP介紹及其主要特點(diǎn)

MRTG基于SNMP協(xié)議獲取信息，對(duì)于端口的流量，MRTG能提供精確統(tǒng)計(jì)，但對(duì)于3層以上的信息則無(wú)從得知了。而這正是NTOP的強(qiáng)項(xiàng)。NTOP能夠顯示網(wǎng)絡(luò)的使用情況。它能夠顯示正在使用網(wǎng)絡(luò)的主機(jī)而且能報(bào)告每個(gè)主機(jī)發(fā)送和接收的流量的信息。NTOP能作為一個(gè)前端數(shù)據(jù)收集器工作（sFlowand/or netFlow），或者作為一個(gè)單獨(dú)的既能收集又能顯示的程序工作?？碞TOP收集的信息，你需要一個(gè)瀏覽器。NTOP工作在第二層和第三層，默認(rèn)使用MAC地址和IP地址。NTOP能把兩者關(guān)聯(lián)起來(lái)，這樣就能夠在網(wǎng)絡(luò)活動(dòng)圖示里面同時(shí)顯示ip和非ip流量（例如：arp和rarp）。NTOP和MRTG相比相比它的安裝配置比較簡(jiǎn)單。目前市場(chǎng)上可網(wǎng)管型的交換機(jī)、路由器都支持SNMP協(xié)議，NTOP支持簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議所以可以進(jìn)行網(wǎng)絡(luò)流量監(jiān)控。NTOP幾乎可以監(jiān)測(cè)網(wǎng)絡(luò)上的所有協(xié)議: TCP/UDP/ICMP、(R)ARP、IPX、Telnet、DLC、Decnet、DHCP-BOOTP、AppleTalk、Netbios、TCP/UDP、FTP、HTTP、DNS、Telnet、SMTP/POP/IMAP、SNMP、NNTP、NFS、X11、SSH和基于P2P技術(shù)的協(xié)議eDonkey, Overnet, Bittorrent, Gnutella，Kazaa等等。

NTOP工具與tcpdump或ethereal工具有著極大的差異,它主要是提供網(wǎng)絡(luò)報(bào)文的統(tǒng)計(jì)數(shù)據(jù),而不是報(bào)文的內(nèi)容｡此外,NTOP不需要使用Web服務(wù)器,它自身就支持HTTP協(xié)議｡首先,它提供了一種快速容易的方法來(lái)得到網(wǎng)絡(luò)活動(dòng)的準(zhǔn)確信息并且不使用網(wǎng)絡(luò)探測(cè)或偵聽設(shè)備｡在大多數(shù)情況下,網(wǎng)絡(luò)探測(cè)器對(duì)追蹤網(wǎng)絡(luò)故障是必需的｡但是,在某些情況下,時(shí)間是很寶貴的,那么在因?yàn)樘綔y(cè)器正被使用于監(jiān)測(cè)其他設(shè)備而無(wú)法獲得時(shí),就可以使用NTOP工具｡其次,在某些給定的網(wǎng)絡(luò)配置下,不可能與探測(cè)器連接,比如一對(duì)通過(guò)WAN互連的UNIX系統(tǒng)｡在這種情況下,當(dāng)使用探測(cè)器可能很困難時(shí),如果可能,用戶應(yīng)使用NTOP工具｡

一般說(shuō)來(lái)，NTOP主要提供以下一些功能： 

◆自動(dòng)從網(wǎng)絡(luò)中識(shí)別有用的信息 

◆將截獲的數(shù)據(jù)包轉(zhuǎn)換成易于識(shí)別的格式 

◆對(duì)網(wǎng)絡(luò)環(huán)境中通信失敗的情況進(jìn)行分析 

◆探測(cè)網(wǎng)絡(luò)環(huán)境中的通信瓶頸 

◆記錄網(wǎng)絡(luò)通信的時(shí)間和過(guò)程

它可以通過(guò)分析網(wǎng)絡(luò)流量來(lái)確定網(wǎng)絡(luò)上存在的各種問(wèn)題；也可以用來(lái)判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)；還可以很方便地顯示出特定的網(wǎng)絡(luò)協(xié)議、占用大量帶寬的主機(jī)、各次通信的目標(biāo)主機(jī)、數(shù)據(jù)包的發(fā)送時(shí)間、傳遞數(shù)據(jù)包的延時(shí)等詳細(xì)信息。通過(guò)了解這些信息，網(wǎng)管員可以對(duì)故障做出及時(shí)的響應(yīng)，對(duì)網(wǎng)絡(luò)進(jìn)行相應(yīng)的優(yōu)化調(diào)整，以保證網(wǎng)絡(luò)運(yùn)行的效率和安全。

2、安裝NTOP

和MRTG相比，NTOP的安裝配置更簡(jiǎn)單，可以不使用Apache服務(wù)器。將NTOP安裝在網(wǎng)管工作站上，監(jiān)測(cè)中、小Linux異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)性能非常方便。

在安裝NTOP之前，需要首先到http://downloads.sourceforge.net/NTOP/NTOP-3.3.8.tar.gz下載NTOP最新的源代碼，再到ftp://ftp.rediris.es/sites/ftp.redh...6.2-12.i386.rpm下載相關(guān)庫(kù)函數(shù)模塊libpcap。注意：必須先安裝libpcap軟件包后才能安裝NTOP，具體的安裝步驟如下所示：

（1）安裝libpcap抓包軟件包

（2）解壓NTOP包

（3）生成Makefile文件

#./configure

（4）配置NTOP時(shí)，系統(tǒng)會(huì)提示先編譯gd和zlib模塊。編譯完gd和zlib，再回到NTOP目錄下重新編譯、安裝：

#cd gd-1.8.3/libpng-1.2.1/
#cp scripts/makefile.linux Makefile
#make
#cd ../../zlib-1.1.4
#./configure
#make
#cd ..
#make
#cd NTOP-3.3.8
#make
make install

（5）建立NTOP軟件需要的log目錄存儲(chǔ)日志：

#mkdir /var/log/NTOP/

（6）以上都完成后，就可以啟動(dòng)NTOP了

#NTOP -P /var/log/NTOP/ -u nobody &

3、使用NTOP

NTOP支持簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP），并把PNG格式的圖形以HTML的方式顯示出來(lái)，便于網(wǎng)管員對(duì)所監(jiān)控的網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等）進(jìn)行管理。

打開瀏覽器，在地址欄輸入http://host_ip:3000（“IP”就是安裝NTOP的那臺(tái)網(wǎng)管工作站的IP地址），即可打開NTOP管理界面。第一次運(yùn)行時(shí)會(huì)要求輸入管理員的密碼，預(yù)設(shè)密碼是“admin”，第二次啟動(dòng)就不用再輸入了。

通過(guò)使用NTOP，我們可以在瀏覽器界面下看到許多有關(guān)網(wǎng)絡(luò)流量的統(tǒng)計(jì)和分析信息，下面介紹幾種最重要的統(tǒng)計(jì)和分析功能：

（1）查看網(wǎng)絡(luò)整體流量（Global Traffic）

網(wǎng)絡(luò)管理員在進(jìn)行網(wǎng)絡(luò)流量分析的初始，考慮的大多是宏觀的網(wǎng)絡(luò)整體流量情況，因此，NTOP首先提供了查看網(wǎng)絡(luò)整體流量的功能。在NTOP的瀏覽器界面中，查看網(wǎng)絡(luò)整體流量用鼠標(biāo)點(diǎn)擊“Stats”選項(xiàng)卡，然后單擊“Traffic”選項(xiàng)。網(wǎng)絡(luò)流量會(huì)明細(xì)表格的形式顯示出來(lái)，如圖5所示。另外，圖6和圖7分別向網(wǎng)絡(luò)管理員顯示了網(wǎng)絡(luò)流量中協(xié)議的分布整體情況，以及最常見的傳輸層協(xié)議TCP和UDP的分布情況，這些可以為網(wǎng)管人員的統(tǒng)計(jì)、分析和審核工作提供強(qiáng)有力的參考依據(jù)。  

圖5  Global Traffic Statistics示意圖  

圖6  Global Protocol Distribution示意圖

 圖7  Global TCP/UDP Protocol Distribution示意圖

（2）查看主機(jī)流量

網(wǎng)絡(luò)管理員在查看了網(wǎng)絡(luò)整體流量信息的前提下，第二步一般是進(jìn)一步分析網(wǎng)絡(luò)中主機(jī)的流量情況，從而確定網(wǎng)絡(luò)中的用戶行為，從而進(jìn)行安全審計(jì)、流量限制等方面的工作。在NTOP中，如果想查看具體節(jié)點(diǎn)計(jì)算機(jī)的網(wǎng)絡(luò)流量，用鼠標(biāo)單擊“IP Traffic”選項(xiàng)卡，然后單擊“Host”選項(xiàng)即可： 

◆監(jiān)測(cè)主機(jī)使用的網(wǎng)絡(luò)協(xié)議：如圖8所示，在圖中網(wǎng)絡(luò)管理員可以清楚地看到網(wǎng)絡(luò)中的每一臺(tái)主機(jī)針對(duì)FTP、HTTP、DNS等主要網(wǎng)絡(luò)協(xié)議的使用情況，包括主機(jī)的IP地址，具體流量等；  

圖8  Network Traffic示意圖

◆查看網(wǎng)絡(luò)流量的方向：NTOP可以把網(wǎng)絡(luò)主機(jī)中的詳細(xì)出入網(wǎng)絡(luò)的流量統(tǒng)計(jì)和顯示出來(lái)。這使得網(wǎng)絡(luò)管理員可以更加清楚地了解網(wǎng)絡(luò)中主機(jī)用戶的網(wǎng)絡(luò)行為，為后續(xù)的追蹤、審計(jì)和流量限制提供了重要信息，如圖9所示。

 圖9  Remote t Local IP Traffic示意圖

◆查看網(wǎng)絡(luò)主機(jī)數(shù)量和基本統(tǒng)計(jì)：NTOP還具有Scanner（掃描器）的功能，它能迅速地掃描到網(wǎng)絡(luò)中的所有活動(dòng)主機(jī)，如圖10所示  

圖10  Host Statistics示意圖

總而言之，通過(guò)上面的分類講解我們不難看到，通過(guò)使用NTOP，我們能夠?qū)λ羞M(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)做到了如指掌，并且能夠進(jìn)行非常詳細(xì)的網(wǎng)絡(luò)流量分析工作。因此，不管是用來(lái)監(jiān)測(cè)網(wǎng)絡(luò)，還是用來(lái)制作網(wǎng)絡(luò)情況報(bào)告，NTOP都是非常優(yōu)秀的工具。 #p#

六、 網(wǎng)絡(luò)流量限制-TC技術(shù)

1、TC（traffic control）技術(shù)原理

Linux從kernel 2.1.105開始支持QoS（服務(wù)質(zhì)量），不過(guò)，需要重新編譯內(nèi)核。具體步驟為：

（1） 運(yùn)行 make config命令時(shí)，將EXPERIMENTAL_OPTIONS選項(xiàng)設(shè)置成y；

（2） 將 Class Based Queueing (CBQ)、Token Bucket Flow、Traffic Shapers選項(xiàng)設(shè)置為y；

（3） 運(yùn)行make dep; make clean; make bzimage，生成新的內(nèi)核。

在Linux操作系統(tǒng)中流量控制器(TC)主要是在輸出端口處建立一個(gè)隊(duì)列進(jìn)行流量控制，控制的方式是基于路由，亦即基于目的IP地址或目的子網(wǎng)的網(wǎng)絡(luò)號(hào)的流量控制。流量控制器TC，其基本的功能模塊為隊(duì)列、分類和過(guò)濾器。Linux內(nèi)核中支持的隊(duì)列有，Class Based Queue ，Token Bucket Flow ，CSZ ，F(xiàn)irst In First Out ，Priority ，TEQL ，SFQ ，ATM ，RED。由于目前網(wǎng)絡(luò)流量種類繁多，網(wǎng)絡(luò)管理員在管理時(shí)通常都采用分類的方式進(jìn)行，因此，本專題所介紹的隊(duì)列與分類都是基于CBQ(Class Based Queue)的，而過(guò)濾器是基于路由(Route)的，其他的分類方式和過(guò)濾器使用方式請(qǐng)參看相關(guān)的技術(shù)文獻(xiàn)。

配置和使用流量控制器TC，主要分以下幾個(gè)方面：分別為建立隊(duì)列、建立分類、建立過(guò)濾器和建立路由，另外還需要對(duì)現(xiàn)有的隊(duì)列、分類、過(guò)濾器和路由進(jìn)行監(jiān)視。

其基本使用步驟為：

（1）針對(duì)網(wǎng)絡(luò)物理設(shè)備綁定一個(gè)CBQ隊(duì)列；

（2）在該隊(duì)列上建立分類；

（3）為每一分類建立一個(gè)基于路由的過(guò)濾器；

（4）最后與過(guò)濾器相配合，建立特定的路由表

2、使用Linux TC進(jìn)行流量控制實(shí)例

實(shí)例條件描述：

在一個(gè)局域網(wǎng)中（如圖11所示），我們?cè)O(shè)定流量控制器上的以太網(wǎng)卡(設(shè)備名為eth0)的IP地址為10.172.4.66，在其上建立一個(gè)CBQ隊(duì)列。假設(shè)包的平均大小為1K字節(jié)，包間隔發(fā)送單元的大小為8字節(jié)，可接收沖突的發(fā)送最長(zhǎng)包數(shù)目為20字節(jié)。

假如有三種類型的流量需要控制：

（1）發(fā)往主機(jī)1的流量，其IP地址設(shè)定為10.172.4.138。其流量帶寬控制在500Mbit，優(yōu)先級(jí)為2；

（2）是發(fā)往主機(jī)2的，其IP地址為10.172.4.141。其流量帶寬控制在200Mbit，優(yōu)先級(jí)為1；

（3）是發(fā)往子網(wǎng)1的，其子網(wǎng)號(hào)為10.172.4.0，子網(wǎng)掩碼為255.255.255.0。流量帶寬控制在300Mbit，優(yōu)先級(jí)為6。

那么，根據(jù)上面的實(shí)例條件，我們可以采用如下的步驟進(jìn)行TC配置和控制：  

圖11 Linux TC流量控制示意圖

1.綁定CBQ隊(duì)列

一般情況下，針對(duì)一個(gè)網(wǎng)卡只需建立一個(gè)隊(duì)列：

將一個(gè)cbq隊(duì)列綁定到網(wǎng)絡(luò)物理設(shè)備eth0上，其編號(hào)為1:0；網(wǎng)絡(luò)物理設(shè)備eth0的實(shí)際帶寬為1000Mbit，包的平均大小為1000字節(jié)；包間隔發(fā)送單元的大小為8字節(jié)，最小傳輸包大小為64字節(jié)。

#tc qdisc add dev eth0 root handle 1: cbq bandwidth 1000Mbit avpkt 1000 cell 8 mpu 64

2. 為隊(duì)列建立分類

分類建立在隊(duì)列之上。一般情況下，針對(duì)一個(gè)隊(duì)列需建立一個(gè)根分類，然后再在其上建立子分類。對(duì)于分類，按其分類的編號(hào)順序起作用，編號(hào)小的優(yōu)先；一旦符合某個(gè)分類匹配規(guī)則，通過(guò)該分類發(fā)送數(shù)據(jù)包，則其后的分類不再起作用。

（1）創(chuàng)建根分類1:1；分配帶寬為1000Mbit，優(yōu)先級(jí)別為8。

#tc class add dev eth0 parent 1:0 classid 1:1 cbq bandwidth 1000Mbit rate 1000Mbit maxburst
20 allot 1514 prio 8 avpkt 1000 cell 8 weight 100Mbit

該隊(duì)列的最大可用帶寬為1000Mbit，實(shí)際分配的帶寬為1000Mbit，可接收沖突的發(fā)送最長(zhǎng)包數(shù)目為20字節(jié)；最大傳輸單元加MAC頭的大小為1514字節(jié)，優(yōu)先級(jí)別為8，包的平均大小為1000字節(jié)，包間隔發(fā)送單元的大小為8字節(jié)，相應(yīng)于實(shí)際帶寬的加權(quán)速率為100Mbit。

（2）創(chuàng)建分類1:2，其父分類為1:1，分配帶寬為500Mbit，優(yōu)先級(jí)別為2。

#tc class add dev eth0 parent 1:1 classid 1:2 cbq bandwidth 1000Mbit rate 500Mbit maxburst
20 allot 1514 prio2 avpkt 1000 cell 8 weight 50Mbit split 1:0 bounded

該隊(duì)列的最大可用帶寬為1000Mbit，實(shí)際分配的帶寬為500Mbit，可接收沖突的發(fā)送最長(zhǎng)包數(shù)目為20字節(jié)；最大傳輸單元加MAC頭的大小為1514字節(jié)，優(yōu)先級(jí)別為1，包的平均大小為1000字節(jié)，包間隔發(fā)送單元的大小為8字節(jié)，相應(yīng)于實(shí)際帶寬的加權(quán)速率為50Mbit，分類的分離點(diǎn)為1:0，且不可借用未使用帶寬。

（3）創(chuàng)建分類1:3，其父分類為1:1，分配帶寬為200Mbit，優(yōu)先級(jí)別為1。

#tc class add dev eth0 parent 1:1 classid 1:3 cbq bandwidth 1000Mbit rate 200Mbit
maxburst 20 allot 1514 prio 1 avpkt 1000 cell 8 weight 20Mbit split 1:0

該隊(duì)列的最大可用帶寬為1000Mbit，實(shí)際分配的帶寬為200Mbit，可接收沖突的發(fā)送最長(zhǎng)包數(shù)目為20字節(jié)；最大傳輸單元加MAC頭的大小為1514字節(jié)，優(yōu)先級(jí)別為2，包的平均大小為1000字節(jié)，包間隔發(fā)送單元的大小為8字節(jié)，相應(yīng)于實(shí)際帶寬的加權(quán)速率為20Mbit，分類的分離點(diǎn)為1:0。

4）創(chuàng)建分類1:4，其父分類為1:1，分配帶寬為300Mbit，優(yōu)先級(jí)別為6。

#tc class add dev eth0 parent 1:1 classid 1:4 cbq bandwidth 1000Mbit rate
300Mbit maxburst 20 allot 1514 prio 6 avpkt 1000 cell 8 weight 30Mbit split 1:0

該隊(duì)列的最大可用帶寬為1000Mbit，實(shí)際分配的帶寬為300Mbit，可接收沖突的發(fā)送最長(zhǎng)包數(shù)目為20字節(jié)；最大傳輸單元加MAC頭的大小為1514字節(jié)，優(yōu)先級(jí)別為1，包的平均大小為1000字節(jié)，包間隔發(fā)送單元的大小為8字節(jié)，相應(yīng)于實(shí)際帶寬的加權(quán)速率為30Mbit，分類的分離點(diǎn)為1:0。

3. 建立過(guò)濾器

過(guò)濾器主要服務(wù)于分類。一般只需針對(duì)根分類提供一個(gè)過(guò)濾器，然后為每個(gè)子分類提供路由映射。

（1）應(yīng)用路由分類器到cbq隊(duì)列的根，父分類編號(hào)為1:0；過(guò)濾協(xié)議為ip，優(yōu)先級(jí)別為100，過(guò)濾器為基于路由表。

#tc filter add dev eth0 parent 1:0 protocol ip prio 100 route 

（2）建立路由映射分類1:2, 1:3, 1:4

#ip route add 10.172.4.138 dev eth0 via 10.172.4.66 realm 2 

4. 建立與過(guò)濾器對(duì)應(yīng)的路由

該路由是與前面所建立的路由映射一一對(duì)應(yīng)。

1） 發(fā)往主機(jī)10.172.4.138的數(shù)據(jù)包通過(guò)分類2轉(zhuǎn)發(fā)(分類2的速率500Mbit)

#ip route add 10.172.4.138 dev eth0 via 10.172.4.66 realm 2 

2） 發(fā)往主機(jī)10.172.4.30的數(shù)據(jù)包通過(guò)分類3轉(zhuǎn)發(fā)(分類3的速率200Mbit)

#ip route add 10.172.4.30 dev eth0 via 10.172.4.66 realm 3 

3）發(fā)往子網(wǎng)10.172.4.0/24的數(shù)據(jù)包通過(guò)分類4轉(zhuǎn)發(fā)(分類4的速率300Mbit)

#ip route add 10.172.4.0/24 dev eth0 via 10.172.4.66 realm 4 

在配置路由時(shí)特別值得注意的是：一般對(duì)于流量控制器所直接連接的網(wǎng)段建議使用IP主機(jī)地址流量控制限制，不要使用子網(wǎng)流量控制限制。如一定需要對(duì)直連子網(wǎng)使用子網(wǎng)流量控制限制，則在建立該子網(wǎng)的路由映射前，需將原先由系統(tǒng)建立的路由刪除，才可完成相應(yīng)步驟。

5. 對(duì)上述建立的機(jī)制進(jìn)行查看

主要包括對(duì)現(xiàn)有隊(duì)列、分類、過(guò)濾器和路由的狀況進(jìn)行查看。

（1）顯示隊(duì)列的狀況

簡(jiǎn)單顯示指定設(shè)備(這里為eth0)的隊(duì)列狀況

#tc qdisc ls dev eth0
qdisc cbq 1: rate 1000Mbit (bounded,isolated) prio no-transmit

詳細(xì)顯示指定設(shè)備(這里為eth0)的隊(duì)列狀況

#tc -s qdisc ls dev eth0
qdisc cbq 1: rate 1000Mbit (bounded,isolated) prio no-transmit
Sent 7646731 bytes 13232 pkts (dropped 0, overlimits 0)
borrowed 0 overactions 0 avgidle 31 undertime 0

這里主要顯示了通過(guò)該隊(duì)列發(fā)送了13232個(gè)數(shù)據(jù)包，數(shù)據(jù)流量為7646731個(gè)字節(jié)，丟棄的包數(shù)目為0，超過(guò)速率限制的包數(shù)目為0。

（2）顯示分類的狀況

簡(jiǎn)單顯示指定設(shè)備(這里為eth0)的分類狀況

#tc class ls dev eth0
class cbq 1: root rate 1000Mbit (bounded,isolated) prio no-transmit
class cbq 1:1 parent 1: rate 10Mbit prio no-transmit #no-transmit表示優(yōu)先級(jí)為8
class cbq 1:2 parent 1:1 rate 500Mbit prio 2
class cbq 1:3 parent 1:1 rate 200Mbit prio 1
class cbq 1:4 parent 1:1 rate 300Mbit prio 6

詳細(xì)顯示指定設(shè)備(這里為eth0)的分類狀況  

#tc -s class ls dev eth0
class cbq 1: root rate 1000Mbit (bounded,isolated) prio no-transmit
Sent 17725304 bytes 32088 pkts (dropped 0, overlimits 0)
borrowed 0 overactions 0 avgidle 31 undertime 0
class cbq 1:1 parent 1: rate 1000Mbit prio no-transmit
Sent 16627774 bytes 28884 pkts (dropped 0, overlimits 0)
borrowed 16163 overactions 0 avgidle 587 undertime 0
class cbq 1:2 parent 1:1 rate 500Mbit prio 2
Sent 628829 bytes 3130 pkts (dropped 0, overlimits 0)
borrowed 0 overactions 0 avgidle 4137 undertime 0
class cbq 1:3 parent 1:1 rate 200Mbit prio 1
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
borrowed 0 overactions 0 avgidle 159654 undertime 0
class cbq 1:4 parent 1:1 rate 300Mbit prio 6
Sent 5934679 bytes 9354 pkts (dropped 0, overlimits 0)
borrowed 3797 overactions 0 avgidle 159557 undertime 0

這里主要顯示了通過(guò)不同分類發(fā)送的數(shù)據(jù)包，數(shù)據(jù)流量，丟棄的包數(shù)目，超過(guò)速率限制的包數(shù)目等等。其中根分類(class cbq 1:0)的狀況應(yīng)與隊(duì)列的狀況類似。

例如，分類class cbq 1:4發(fā)送了9354個(gè)數(shù)據(jù)包，數(shù)據(jù)流量為5934679個(gè)字節(jié)，丟棄的包數(shù)目為0，超過(guò)速率限制的包數(shù)目為0。

（3）顯示過(guò)濾器的狀況

#tc -s filter ls dev eth0
filter parent 1: protocol ip pref 100 route
filter parent 1: protocol ip pref 100 route fh 0xffff0002 flowid 1:2 to 2
filter parent 1: protocol ip pref 100 route fh 0xffff0003 flowid 1:3 to 3
filter parent 1: protocol ip pref 100 route fh 0xffff0004 flowid 1:4 to 4
這里flowid 1:2代表分類class cbq 1:2，to 2代表通過(guò)路由2發(fā)送。

這里flowid 1:2代表分類class cbq 1:2，to 2代表通過(guò)路由2發(fā)送。

（4）顯示現(xiàn)有路由的狀況

#ip route
10.172.4.66 dev eth0 scope link
10.172.4.138 via 10.172.4.66 dev eth0 realm 2
10.172.4.30 via 10.172.4.66 dev eth0 realm 3
10.172.4.0/24 via 10.172.4.66 dev eth0 realm 4
10.172.4.0/24 dev eth0 proto kernel scope link src 10.172.4.66
172.16.1.0/24 via 10.172.4.66 dev eth0 scope link
127.0.0.0/8 dev lo scope link
default via 10.172.4.254 dev eth0

6. 隊(duì)列、分類、過(guò)濾器及路由維護(hù)

上面我們通過(guò)一個(gè)完整的例子示意了使用Linux的TC進(jìn)行流量控制的全過(guò)程。不難看出，該技術(shù)主要包括如上5步。而在日常的網(wǎng)絡(luò)管理過(guò)程中，網(wǎng)管員還需要對(duì)TC的隊(duì)列、分類、過(guò)濾器和路由進(jìn)行相應(yīng)的增添、修改和刪除等操作，以保證流量控制能夠因時(shí)、因地、因應(yīng)用制宜?？赡苡玫降南鄳?yīng)的命令如下所示： 

◆tc class add命令：添加分類； 

◆tc class change命令：修改分類； 

◆tc filter add命令：添加過(guò)濾器； 

◆tc filter change命令：修改過(guò)濾器； 

◆tc filter del命令：刪除過(guò)濾器； 

◆ip route add命令：添加與過(guò)濾器對(duì)應(yīng)的路由； 

◆ip route change命令：修改與過(guò)濾器對(duì)應(yīng)的路由； 

◆ip route del命令：刪除與過(guò)濾器對(duì)應(yīng)的路由。

具體的用法和例子在本專題中不再一一給出，請(qǐng)參看詳細(xì)的技術(shù)文獻(xiàn)對(duì)照使用。 #p#

七、 網(wǎng)絡(luò)流量管理的策略

隨著網(wǎng)絡(luò)流量的不斷增長(zhǎng)以及網(wǎng)絡(luò)應(yīng)用的日趨紛繁蕪雜化，我們不難看到，簡(jiǎn)單的無(wú)限制的增加網(wǎng)絡(luò)帶寬是不能解決網(wǎng)絡(luò)流量的根本問(wèn)題的。我們需要對(duì)網(wǎng)絡(luò)流量進(jìn)行管理，從而保證網(wǎng)絡(luò)的健康和網(wǎng)絡(luò)應(yīng)用的正常服務(wù)。在網(wǎng)絡(luò)流量管理的過(guò)程中，我們首要的問(wèn)題就要明確網(wǎng)絡(luò)管理目標(biāo)。在網(wǎng)絡(luò)流量管理中，我們需要牢記4個(gè)目標(biāo) 

◆首先，我們要了解網(wǎng)絡(luò)流量的使用情況； 

◆其次，要找到優(yōu)化網(wǎng)絡(luò)性能的途徑； 

◆第三，要通過(guò)網(wǎng)絡(luò)管理技術(shù)來(lái)提升網(wǎng)絡(luò)效能； 

◆最后，還需要做好網(wǎng)絡(luò)流量信息安全方面的防護(hù)工作。

具體說(shuō)來(lái)，要達(dá)到上述四個(gè)目標(biāo)，網(wǎng)絡(luò)管理員們可以通過(guò)有效的分類方式非常明確的知道我們需要的帶寬到底哪些是實(shí)際使用的。網(wǎng)絡(luò)流量管理的第二個(gè)目標(biāo)是找到網(wǎng)絡(luò)性能的瓶頸。網(wǎng)絡(luò)性能很重要的一個(gè)方面是吞吐量，這是網(wǎng)絡(luò)能夠傳輸?shù)淖畲髷?shù)據(jù)量，還有延遲等。第三，通過(guò)本專題所介紹的流量監(jiān)控及控制軟件可以高效地提升網(wǎng)絡(luò)性能，從而滿足不同的網(wǎng)絡(luò)應(yīng)用需求。最后，網(wǎng)管們還可以綜合運(yùn)用入侵檢測(cè)系統(tǒng)（IDS）、防火墻（FireWall）、統(tǒng)一威脅管理（UTM）設(shè)備來(lái)對(duì)網(wǎng)絡(luò)流量進(jìn)行信息安全方面的防護(hù)工作。當(dāng)然，信息安全方面的工作不是本專題的介紹范疇，在這里不作過(guò)多介紹。

在日常的網(wǎng)絡(luò)流量管理中，為了有效實(shí)現(xiàn)網(wǎng)絡(luò)管理4個(gè)目標(biāo)，我們需要采取相應(yīng)的步驟。這個(gè)步驟分別是：網(wǎng)絡(luò)流量捕捉和分類、網(wǎng)絡(luò)流量監(jiān)視（統(tǒng)計(jì)和分析）和控制策略。 

◆網(wǎng)絡(luò)流量捕捉和分類：他是進(jìn)行網(wǎng)絡(luò)流量管理的第一步。只有通過(guò)設(shè)置捕捉點(diǎn)，對(duì)網(wǎng)絡(luò)流量進(jìn)行捕捉和分類，才能進(jìn)行后續(xù)的分析和控制工作。這里特別需要強(qiáng)調(diào)的是，網(wǎng)絡(luò)流量分類可以非常宏觀化，也可以細(xì)化。比如TCP、UDP、ICMP等等的分類就比較宏觀，而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類和識(shí)別就比較細(xì)化了。本專題介紹的Wireshark和tcpdump軟件目前著重的是宏觀流量的捕捉和分類，具體細(xì)化的內(nèi)容管理員可以參看相關(guān)的資料獲得。 

◆網(wǎng)絡(luò)流量監(jiān)視（分析）：監(jiān)視步驟用來(lái)顯示流量的運(yùn)行狀況，幫助找出問(wèn)題所在和執(zhí)行相應(yīng)的管理策略。應(yīng)用程序和網(wǎng)絡(luò)管理能夠收集分類、展示和收集信息，包括帶寬利用率、活躍的主機(jī)和網(wǎng)絡(luò)效率以及對(duì)活躍的應(yīng)用程序。我們的設(shè)備能夠跟蹤平均和高信息的流量，識(shí)別最大的用戶和應(yīng)用程序，將網(wǎng)絡(luò)流量定位到不同的領(lǐng)域，從應(yīng)用的角度監(jiān)視網(wǎng)絡(luò)流量，分析網(wǎng)絡(luò)帶寬明確的關(guān)鍵問(wèn)題所在。用統(tǒng)計(jì)報(bào)表來(lái)進(jìn)行表現(xiàn)。該目標(biāo)可以采用本專題所介紹的NTOP可視化分析管理工具來(lái)協(xié)助網(wǎng)絡(luò)管理員在實(shí)際工作中實(shí)現(xiàn)。 

◆控制策略：通過(guò)網(wǎng)絡(luò)流量分析后，接下來(lái)根據(jù)優(yōu)先級(jí)別分配帶寬資源。分配的依據(jù)可以根據(jù)主機(jī)、應(yīng)用等等，特別需要考慮的是注意將消耗資源的P2P程序或者音頻視頻下載等進(jìn)行滯后考慮。用戶們可以根據(jù)本專題所介紹的TC工具來(lái)進(jìn)行和實(shí)現(xiàn)一個(gè)完整的分類監(jiān)視和控制網(wǎng)絡(luò)流量，這樣，我們就可以將網(wǎng)絡(luò)流量有效管理起來(lái)，將原來(lái)無(wú)序的網(wǎng)絡(luò)流量變得有序起來(lái)。

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】  

【編輯推薦】

1. 用sniffer診斷Linux網(wǎng)絡(luò)故障
2. 用sniffer pro進(jìn)行網(wǎng)絡(luò)流量掃描