s01流量分析技术introPPT课件

1-1网络流量的概述第一章1-2目录目录网络流量的概述常用的网络流量分析方法和工具分析和控制的方法和技术1-3互联网业务流量监测技术的应用及现状互联网业务流量监测技术的应用及现状 宽带互联网在中国的迅速发展各大电信运营商不断扩张网络规模网络结构日渐复杂网络业务日趋丰富网络流量高速增长能实现的流量监测功能非常有限远远不能满足运营商的迫切需要1-4电信运营商的要求电信运营商的要求及时、准确的流量和流向分析可靠、有效的网络业务流量监测系统分析报告 网络流量、流向分析 网络所承载的各类业务的流量分析挖掘网络资源潜力控制网络互联成本为网络规划、优化调整和业务发展提供基础依据。1-5互联网业务流量分析技术现状分析互联网业务流量分析技术现状分析没有建设一套能够完全满足管理需求的互联网业务流量分析、监测系统现有的网络管理系统可提供业务流量分析监测手段只采用通用型的网络链路使用率监视软件运营商迫切需要寻找一种功能丰富、成熟稳定的新技术有必要对现有管理系统中流量信息的采集和分析方式进行改造和升级1-6流量分析技术的应用流量分析技术的应用 主要包括以下几点：为网络出口互联链路的设置提供决策支持 掌握用户对其他运营商的访问情况 评估分支网络的成本和价值 提供重要应用和大客户统计分析 基于IP的计费应用和服务等级协议（SLA）的校验服务 掌握网络状况 实现对网络异常通信的检测，重点防范分布式拒绝服务（DDoS）的攻击和大范围的蠕虫病毒发作 为网络优化提供数据依据 1-7常用流量分析工具（一）常用流量分析工具（一）通用型的网络链路使用率监视软件 MRTG：免费的 SNMP：简单网络管理协议 NetFlow 是Cisco公司提出的网络数据包交换技术 对网络的重点链路和互联点进行简单的端口级流量监视和统计；1-8常用流量分析工具（二）常用流量分析工具（二）探针法 在网络中部分重点业务接入点（POP）加装远程监控（RMON）探针的方式 利用RMON I/协议对网络中部分端口 进行网络流量和上层业务流量的监视和采集 有处理性能不足和难以在大型网络普遍部署的局限性1-9新的流量信息采集和分析技术新的流量信息采集和分析技术应具备对运营商的运行网络影响小无需对网络拓扑进行改变就能平滑升级的技术特征既可以对网络中各个链路的带宽使用率进行统计又可以对每条链路上不同类型业务的流量和流向进行分析和统计1-10常见常见IP网络分析工具及技术简介网络分析工具及技术简介 专用流程分析仪器 Netscout,smartbit 网络抓包工具 sniffer,ethnet网络“万用表”及网管软件 FULKE，siteview通用分析技术 SNMP,NETFLOW1-11千兆端口可对网络流量实现OSI 7层分析，例如响应时间测量、P2P检测、VOIP检测等。Net scout nGenius9902接分光器的连接接分光器的连接1-12Netscout 9901控制台配置控制台配置1-13设备配置界面中，可以添加所要管理的设备，包括探针、设备配置界面中，可以添加所要管理的设备，包括探针、3100采集器、采集器、SNMP设备（如交换机、路由器、服务器等）。设备（如交换机、路由器、服务器等）。PMServer 安装后中进行监控设备的设置安装后中进行监控设备的设置1-14个应用协议，可选择此协议的Host、Convs、Resp Time，查看此应用协议的主机、通信对和响应时间。协议的定义选择TCP或UDP相应的协议，Well-known Apps中定义单一端口的应用协议，在Server-based Apps中定义多端口或基于服务器地址的应用协议。Site的应用层协议时间分布图：Netscout 对监控应用类型的选择对监控应用类型的选择1-15Site的应用层协议时间分布图的应用层协议时间分布图1-16便携式便携式分布式测试平台分布式测试平台软件软件布线、网络布线、网络安装安装/维护维护企业级网络企业级网络公共网公共网技术员技术员管理管理技术员技术员管理管理策划策划技术员技术员管理管理Fiber TestOptiView 集成式网络分析仪 OptiView 网络超级透视解决方案990 CopperPro外线测试仪LoopExpert 外线管理系统LinkRunner,NetTool,OneTouch OptiView控制台软件LinkWare电缆报告管理LAN MapShot 网络拓扑管理MicroTools协议分析专家DSP/DTX系列OptiFiber无线局域网测试仪DaVaRSystemsSuperAgent 应用分析专家美国福禄克网络公司美国福禄克网络公司=网络测试网络测试1-17测试领域的测试领域的DSP系列系列已经成为验收综合布线系统的标准仪器1-18WANOptiView集成式网络分析仪集成式网络分析仪OPV-INA接入网络自动设置接入网络自动设置主动完成网络搜索主动完成网络搜索快速给出网络的宏观信息快速给出网络的宏观信息1-19测试仪自动接入网络测试仪自动接入网络点击图标进入交换机端口分析1-20连接客户端的端口状况连接客户端的端口状况这个端口的高利用率并不象是问题的根源这个端口的高利用率并不象是问题的根源从控制台软件得知服务器连接在从控制台软件得知服务器连接在交换器的插槽交换器的插槽1/端口端口 51-21没有错误，但有碰撞！没有错误，但有碰撞！有冲突有冲突?端口并没有发现错误的数据包端口并没有发现错误的数据包1-22哪里来的碰撞呢？哪里来的碰撞呢？为什么有冲突呢为什么有冲突呢?只有服务器连接这个只有服务器连接这个交换机端口交换机端口!交换机的自适应失败交换机的自适应失败,只以只以10Mb 半半双工连接这台交换机双工连接这台交换机!1-23总结总结一般故障诊断流程 从上到下，或从下到上没有切入点时，从宏观到具体 本例中OPV-INA采用的方法 使用排除法逐步缩小故障范围快速网络故障诊断需要综合性工具 福禄克ONAS系统的特点 分布式网络分析仪分布式网络分析仪 集成式网络分析仪集成式网络分析仪1-24OptiView 网络分析仪网络分析仪全自动化测试，操作简单交换网络环境下的高级自动网络搜索高度集成的测试仪器 支持 SNMP，RMON-I RMON-II 支持 10BASE-T 和 100BASE-TX 支持光纤 100BASE-FX(增强型)支持 1000BASE-SX,1000BASE-LX 和 1000BASE-T（千兆型）数据捕捉和流量生成 支持VLAN 电缆，光缆测试支持七个用户同时远程控制1-25手持式仪表手持式仪表 IntelliTone LinkRunner MicroScanner WaveRunner NetTool OneTouch1-26企业级运维解决方案企业级运维解决方案(中型）中型）OneTouch网络一点通网络一点通Network Inspector 网络听诊器网络听诊器1-27OptiView 网络分析仪网络分析仪(集成式和分布式集成式和分布式)迅速获得完整的网络可视性将七层协议分析、主动搜寻、SNMP 设备分析、RMON2 流量分析和物理层测试能力综合于一个可移动的测试仪中具有无线网络分析、广域网透视及 VLAN 透视功能1-28福禄克网络的福禄克网络的SuperAgentl监测用户的响应时间l快速隔离问题根源,是否在网络、服务器和用户区上l监测所有的TCP应用，如 Web,SAP,Oracle,Citrix,PeopleSoft,专用应用“SuperAgent 集成优秀的功能、高可靠性和简明的报告，集成优秀的功能、高可靠性和简明的报告，它是分析应用的必备工具它是分析应用的必备工具”Network World1-29Site View简介简介集中式、跨平台的系统管理软件运行状况、故障检测和性能管理 局域网、广域网和互联网 服务器和网络设备 系统应用 中间件、数据库、邮件系统、DNS系统、FTP系统、OA系统、ERP系统1-30SiteView功能强大功能强大实时检测 从应用层面对企业IT系统的关键应用进行警报系统 通过声音、E-mail、手机短信息、Post和脚本等方式及时通知相关人员；自动进行故障处理完善的性能分析报告 随时了解整个IT系统的运行状况 能帮助系统管理人员及时预测、发现性能瓶颈 为企业系统的战略规划提供依据1-31故障现象：从法国一个远端的现场，用户投诉网络从法国一个远端的现场，用户投诉网络服务很慢。服务很慢。案例分析：案例分析：1-32总部总部法国法国英国英国意大利意大利OC3/OC12E1/E3E1/E3ATM NetworkOV WAN OC3-12E1/E3 VC:0/101远端用户案例的案例的 ATM 网络网络1-33物理层及设置都没有错误物理层及设置都没有错误没有物理层故障没有错误看看谁在占用利用率1-34流量与法国有关流量与法国有关我们看到很多的流量是和法国连接看看法国的利用率谁在占用1-35发现可疑的发现可疑的IP地址地址大部分的流量都从一个中央服务器到一个可疑IP地址。让我们看看他们在做什么？注意现在观察的流量是在某一个VC1-36ICMP协议协议再深入分析后，发现都是ICMP协议有问题！再看看是否那可疑的IP地址发出ICMP包打开在法国的VC上，用ICMP的最高对话源。1-37确认确认IP后捕捉数据后捕捉数据果然是他!再多采集一些证据可以捕捉一些这种行为的数据包。1-38设置过滤器进行捕捉设置过滤器进行捕捉过滤器经已自动做好!它是根据上一个屏幕显示的状态而定的！点出这里开时捕包1-39连续的自动连续的自动PING冲击冲击从协议分析看来-情形是10.1.2.111用连续的自动PING冲击服务器1-40总结总结黑客攻击肯定会对网络流量有影响 本例是用连续的自动PING冲击服务器，作DOS 攻击 黑客已进入了法国的网络，从法国启动攻击，把广域 网链路填满对网络中流量的长期监测是预防故障的有效手段 福禄克网络的WGA/DSVS和OPV-WAN分布式网络分析特点 目前大部分网络用户没有对流量的长期监测手段解决方式 暂时性的补救方法是在法国的路由器上隔离ICMP Ping包或屏蔽可疑的IP地址的数据包。通知法国的IT经理关于黑客的事，查找黑客的痕迹。放映结束 感谢各位的批评指导！谢谢 谢！谢！让我们共同进步412021/3/9