s01-流量分析技术-intro.ppt

1-1,IP网络流量分析,网络流量的概述,第一章,1-2,IP网络流量分析,目录,网络流量的概述常用的网络流量分析方法和工具分析和控制的方法和技术,1-3,IP网络流量分析,互联网业务流量监测技术的应用及现状,宽带互联网在中国的迅速发展各大电信运营商不断扩张网络规模网络结构日渐复杂网络业务日趋丰富网络流量高速增长能实现的流量监测功能非常有限远远不能满足运营商的迫切需要,1-4,IP网络流量分析,电信运营商的要求,及时、准确的流量和流向分析可靠、有效的网络业务流量监测系统分析报告网络流量、流向分析网络所承载的各类业务的流量分析挖掘网络资源潜力控制网络互联成本为网络规划、优化调整和业务发展提供基础依据。,1-5,IP网络流量分析,互联网业务流量分析技术现状分析,没有建设一套能够完全满足管理需求的互联网业务流量分析、监测系统现有的网络管理系统可提供业务流量分析监测手段只采用通用型的网络链路使用率监视软件运营商迫切需要寻找一种功能丰富、成熟稳定的新技术有必要对现有管理系统中流量信息的采集和分析方式进行改造和升级,1-6,IP网络流量分析,流量分析技术的应用,主要包括以下几点：为网络出口互联链路的设置提供决策支持掌握用户对其他运营商的访问情况评估分支网络的成本和价值提供重要应用和大客户统计分析基于IP的计费应用和服务等级协议（SLA）的校验服务掌握网络状况实现对网络异常通信的检测，重点防范分布式拒绝服务（DDoS）的攻击和大范围的蠕虫病毒发作为网络优化提供数据依据,1-7,IP网络流量分析,常用流量分析工具（一）,通用型的网络链路使用率监视软件MRTG：免费的SNMP：简单网络管理协议NetFlow是Cisco公司提出的网络数据包交换技术对网络的重点链路和互联点进行简单的端口级流量监视和统计；,1-8,IP网络流量分析,常用流量分析工具（二）,探针法在网络中部分重点业务接入点（POP）加装远程监控（RMON）探针的方式利用RMONI/协议对网络中部分端口进行网络流量和上层业务流量的监视和采集有处理性能不足和难以在大型网络普遍部署的局限性,1-9,IP网络流量分析,新的流量信息采集和分析技术,应具备对运营商的运行网络影响小无需对网络拓扑进行改变就能平滑升级的技术特征既可以对网络中各个链路的带宽使用率进行统计又可以对每条链路上不同类型业务的流量和流向进行分析和统计,1-10,IP网络流量分析,常见IP网络分析工具及技术简介,专用流程分析仪器Netscout,smartbit网络抓包工具sniffer,ethnet网络“万用表”及网管软件FULKE，siteview通用分析技术SNMP,NETFLOW,1-11,IP网络流量分析,千兆端口可对网络流量实现OSI7层分析，例如响应时间测量、P2P检测、VOIP检测等。,NetscoutnGenius9902接分光器的连接,1-12,IP网络流量分析,Netscout9901控制台配置,1-13,IP网络流量分析,设备配置界面中，可以添加所要管理的设备，包括探针、3100采集器、SNMP设备（如交换机、路由器、服务器等）。,PMServer安装后中进行监控设备的设置,1-14,IP网络流量分析,个应用协议，可选择此协议的Host、Convs、RespTime，查看此应用协议的主机、通信对和响应时间。协议的定义选择TCP或UDP相应的协议，Well-knownApps中定义单一端口的应用协议，在Server-basedApps中定义多端口或基于服务器地址的应用协议。,Site的应用层协议时间分布图：,Netscout对监控应用类型的选择,1-15,IP网络流量分析,Site的应用层协议时间分布图,1-16,IP网络流量分析,便携式,分布式测试平台,软件,布线、网络安装/维护,企业级网络,公共网,技术员,管理,技术员,管理,策划,技术员,管理,FiberTest,OptiView集成式网络分析仪,OptiView网络超级透视解决方案,990CopperPro外线测试仪,LoopExpert外线管理系统,LinkRunner,NetTool,OneTouch,OptiView控制台软件,LinkWare电缆报告管理LANMapShot网络拓扑管理,MicroTools,协议分析专家,DSP/DTX系列,OptiFiber,无线局域网测试仪,DaVaRSystems,SuperAgent应用分析专家,美国福禄克网络公司=网络测试,1-17,IP网络流量分析,测试领域的DSP系列,已经成为验收综合布线系统的标准仪器,1-18,IP网络流量分析,OptiView集成式网络分析仪,OPV-INA接入网络自动设置主动完成网络搜索快速给出网络的宏观信息,1-19,IP网络流量分析,测试仪自动接入网络,点击图标进入交换机端口分析,1-20,IP网络流量分析,连接客户端的端口状况,这个端口的高利用率并不象是问题的根源,从控制台软件得知服务器连接在交换器的插槽1/端口5,1-21,IP网络流量分析,没有错误，但有碰撞！,有冲突?,端口并没有发现错误的数据包,1-22,IP网络流量分析,哪里来的碰撞呢？,为什么有冲突呢?只有服务器连接这个交换机端口!,交换机的自适应失败,只以10Mb半双工连接这台交换机!,1-23,IP网络流量分析,总结,一般故障诊断流程从上到下，或从下到上没有切入点时，从宏观到具体本例中OPV-INA采用的方法使用排除法逐步缩小故障范围快速网络故障诊断需要综合性工具福禄克ONAS系统的特点,分布式网络分析仪,集成式网络分析仪,1-24,IP网络流量分析,OptiView网络分析仪,全自动化测试，操作简单交换网络环境下的高级自动网络搜索高度集成的测试仪器支持SNMP，RMON-IRMON-II支持10BASE-T和100BASE-TX支持光纤100BASE-FX(增强型)支持1000BASE-SX,1000BASE-LX和1000BASE-T（千兆型）数据捕捉和流量生成支持VLAN电缆，光缆测试支持七个用户同时远程控制,1-25,IP网络流量分析,手持式仪表,IntelliToneLinkRunnerMicroScannerWaveRunnerNetToolOneTouch,1-26,IP网络流量分析,企业级运维解决方案(中型）,OneTouch网络一点通NetworkInspector网络听诊器,1-27,IP网络流量分析,OptiView网络分析仪(集成式和分布式),迅速获得完整的网络可视性将七层协议分析、主动搜寻、SNMP设备分析、RMON2流量分析和物理层测试能力综合于一个可移动的测试仪中具有无线网络分析、广域网透视及VLAN透视功能,1-28,IP网络流量分析,福禄克网络的SuperAgent,监测用户的响应时间快速隔离问题根源,是否在网络、服务器和用户区上监测所有的TCP应用，如Web,SAP,Oracle,Citrix,PeopleSoft,专用应用,“SuperAgent集成优秀的功能、高可靠性和简明的报告，它是分析应用的必备工具”NetworkWorld,1-29,IP网络流量分析,SiteView简介,集中式、跨平台的系统管理软件运行状况、故障检测和性能管理局域网、广域网和互联网服务器和网络设备系统应用中间件、数据库、邮件系统、DNS系统、FTP系统、OA系统、ERP系统,1-30,IP网络流量分析,SiteView功能强大,实时检测从应用层面对企业IT系统的关键应用进行警报系统通过声音、E-mail、手机短信息、Post和脚本等方式及时通知相关人员；自动进行故障处理完善的性能分析报告随时了解整个IT系统的运行状况能帮助系统管理人员及时预测、发现性能瓶颈为企业系统的战略规划提供依据,1-31,IP网络流量分析,故障现象：从法国一个远端的现场，用户投诉网络服务很慢。,案例分析：,1-32,IP网络流量分析,案例的ATM网络,1-33,IP网络流量分析,物理层及设置都没有错误,没有物理层故障,没有错误,看看谁在占用利用率,1-34,IP网络流量分析,流量与法国有关,我们看到很多的流量是和法国连接,看看法国的利用率谁在占用,1-35,IP网络流量分析,发现可疑的IP地址,大部分的流量都从一个中央服务器到一个可疑IP地址。,让我们看看他们在做什么？,注意现在观察的流量是在某一个VC,1-36,IP网络流量分析,ICMP协议,再深入分析后，发现都是ICMP协议有问题！,再看看是否那可疑的IP地址发出ICMP包打开在法国的VC上，用ICMP的最高对话源。,1-37,IP网络流量分析,确认IP后捕捉数据,果然是他!,再多采集一些证据可以捕捉一些这种行为的数据包。,1-38,IP网络流量分析,设置过滤器进行捕捉,1-39,IP网络流量分析,连续的自动PING冲击,从协议分析看来-情形是11用连续的自动PING冲击服务器,1-40,IP网络流量分析,总结,黑客攻击肯定会对网络流量有影响本例