综合实验设计指导书

1、综合实验设计指导书20014010-31 韩文君一、实验名称：网络流量监测及分析二、实验目的：1、观察网络中出现的各种数据包的结构，封装格式，掌握数据包的分析方法。通过分析数据包格式，结合网络课程所学知识，达到验证所学，学以致用的目的。2、了解流量监测的基本方法和采样统计分析过程；掌握流量监测中的采样方法，包括选择监测采样技术，如何设置采样点，选择采样时间以及采样数据存储区大小的设定等3、分析监测到的网络流量，并做出分析报告。通过从不同的角度对数据进行分析，得到实验结论和利用网络知识解释分析流量变化原因。例如，可从以下角度：数据链路层：广播、单播，分析广播风暴；报文长度，分析各种长度报文所占比

2、例，计算报文平均长度等。网络层：源和目的；分析内外网进出流量，分析焦点节点流量比例及变换情况；分析ICMP报文，网络开销比例等。传输层：分析面向连接协议与面向无连接协议的使用情况。应用层：分析各种典型应用的使用情况。主要的分析方法可以用到：流量随时间变化曲线，及对高峰低谷数据的分析；分析各成分在流量中的比例，及随时间变化曲线等；求平均值及比较各成分均值。三、实验要求1、实验者在了解实验目的后，自行设计监测计划，和按计划取得数据。自己制定数据分析方法和分析角度，得出实验结论。2、完成至少4种类型的数据包的分析，列出每个字段的含义。除了给出该字段的数值外，还要指出字段值表达了怎样的信息。3、做出全

3、天数据总流量变化图。4、至少从3种不同角度对流量进行分析。5、完成整个监测计划中每天流量变化的比较分析分析的重点不是各项统计数据本身，实验者需要完成对这些数据值的大小、关系、变化趋势等方面的进行分析和评价，进一步得出网络流量特点的结论，并尝试揭露形成相应特点的原因。四、实验原理1、设置监测点在网络中不同的位置设置监测点，监测结果和结论将有很大差别。如在网络内设置监测点可以观察网内通信的情况，在网间设置检测点则主要观察数据进出网络的情况。由于监测目标的子网内采用了交换机，网内监测将很难观察通信情况，本设计将主要观察网间通信，将监测点设置在通信学院二级子网与校园主干网相接的线路上。校园主干网通信学

4、院二级子网RouterBay 350监测点2、网络监测方法：（1）利用HUB进行监测：集线器（HUB）本质上是一个多端口中继器，即从任何一个工作站传输的数据都被HUB接收，并在其他所有端口上转发。我们可以利用集线器的这种总线特性，在监测点放置一个集线器，集线器上的两个端口分别接被监测线路的两端，利用第三个接口，接入监测机，观察经过被监测线路上的数据。RouterBay 350监测机HUB利用集线器监测的主要缺点是：被监测线路传输速率为100Mbps，而集线器多工作在10Mbps，将使被监测线路降速；此外，如果监测机也在主动发送发送数据，将对被监测线路造成干扰。（2）防火墙方式可在监测机上设置两

5、张网卡，分别接被监测线路两端，在被监测线路上的数据就要经过监测机。该方式与防火墙的工作原理一样。RouterBay 350监测机本方法的优点是可以工作在100Mbps，并保证所有的数据都能被监测到。但被监测线路受监测机性能影响很大，监测机即要缓存所有的数据，又要不断转发，如果监测机性能较低，将直接造成线路降速。（3）Monitor方式部分品牌的交换机具有Monitor功能，可以将某个端口的数据同时拷贝一份到映象端口。我们在本设计利用Bay350交换机的这项功能，将交换机上与通信学院连接的端口上进出的数据复制到监测端口，达到监测目的。RouterBay 350监测机Monitor本方法的优点是：

6、不会改变网络拓扑，不对被监测线路造成影响。缺点是：仅有部分厂商的产品支持这一功能；在监测全双工端口时，如果双向数据流量之和超过100Mbps，则监测机将无法准确监测。3、监测机在监测机上将网卡的全接收功能打开，它可以接收所有数据并存盘和分析。监测机的内存大小和CPU的性能都会影响从网卡读取数据的速度，一旦监测机无法及时从网卡读取数据，将造成丢包，影响监测的准确性。但是不能为了节约内存而将采样时间减小，如果采样时间过小，如小于10秒，则样本值并不能反映正确的流量。4、监测软件：实验中使用sniffer软件来监测数据，该软件还能对样本进行初步的统计分析。实验者可以充分利用软件的统计功能获得各项数据

7、，实验者重点需要完成对这些数据值的大小、关系、变化趋势等方面的分析，以得出网络流量特点的结论，并尝试揭露形成相应特点的原因。五、实验方法在选定的监测点；利用交换机的Monitor功能和监测软件获取监测数据；多次监测，进行采样、统计、比较和分析。六、实验进度安排总时间为两星期，共10天。第一天，了解设计任务要求、熟悉实验环境，分组及推选组长，制定监测计划第二天，进行预监测，熟悉监测软件第三天第七天，按计划监测第八天第九天，完成实验报告第十天，组织答辩。七、实验数据记录本次实验采样时间是2004-3-29上午8：30至12：10，中午休息时间未采样，下午2：30至6：30，总采样时间为8小时左右，

8、每隔5分钟采样一次，采样得文件92个，每个文件大小为12M。上午10点之前每个文件采样时间为1分30秒左右，可见上网的人比较少；10点以后采样时间为40秒左右，说明上网的人开始增多；下午网络流量增加，每个文件采样时间缩短，30秒左右就可以采样得到一个12M文件。八、实验数据分析1）流量分析流量随时间变化图如下所示： 这是一天来数据总的流量变化图，从图中我们可以看出，网络在第10个采样点开始既9点15左右出现第一个小高峰，而后出现短暂回落，继而继续上升，分析原因可能是在办公室和教研室上班的人逐渐增加，并都开始利用网络所致。在10点50左右出现第2个小高峰，到了11点15左右网络出现最高峰，到了1

9、1点50时网络出现底峰，可能由于下班午餐的原因导致数据流量偏低。下午网络流量在14点30左右开始迅速提升到一个最大值并保持在这一水平，起伏不是很大。17点5分左右网络流量出现极大值，然后又迅速下降，分析原因可能是部分站点之间的通信已经完成，因此网络流量骤减。到17点55再次出现峰值。分析原因可能是部分老师或研究生上完下午第二节课回到了教研室，开始使用网络。而后网络流量出现缓慢回落，可能因为大家都去吃饭的缘故。2）网络利用率分析 总体来看，全天的网络流量呈上升趋势，到18点以后才略有减退。与网络流量相关的一个参数便是网络的平均利用率（如下图所示），网络的平均利用率计算公式为 平均利用率网络流量/

10、网络带宽。 所以网络的平均利用率应该和流量成正比，这也在上图中基本反映出来。但是我们发现整个平均使用率的曲线和流量的曲线的变化程度并不是完全相同，这是因为我们将网络带宽是一个非常大的数字（100M），所以在除了这样大的一个数据后，流量变化比较小的时间段的平均利用率的曲线将变的很平缓，而在流量变化很剧烈的时间段，平均利用率的曲线将变的非常陡峭。这就是两张图表出现一个差异的根本原因。3）通信主机源分析8：309：15此时正是网络流量在上午的高峰期，通信还是主要集中在10：00此时的网络流量不再是主要集中在2台主机之间，而是由多台主机之间的通信构成，这是的网络流量也不如9：15分左右。我通过比较推测

11、，可能主要是因为4）对几种重要报文类型的分析对从92个采样点的分析来看，其主要使用的数据包类型有IP数据包，TCP、UDP数据包和ICMP数据包，下面对这四种数据包作一些分析： 在整个实验过程中，我们可以观察到IP和TCP报文占据了整个报文数量的决大多数。原因在于我们使用的是TCP/IP协议族。但是现在的网络不太使用UDP协议，因为UDP是一个无连接、不可靠的运输协议，所以我们可以从上图中观察到UDP报文只是占据了整个报文的一下部分。而面向连接、可靠的运输协议TCP在这里就使用的非常多。而这里面很特别的现象是ICMP报文的异常波动。ICMP是为了补偿IP协议缺少差错控制和辅助机制而设计的一个协

12、议，为IP层提供差错报告和查询，使得IP层上的传输能够尽量的可靠。在一个稳定的，正常使用的网络中，我们应该观察到ICMP报文的数量应该为一个比较稳定的值。但是，我们可以在上图中看到ICMP的数量出现了异常波动，在8：35分出现了一个高峰。这是什么原因呢？我将在下面对这个问题进行详细的分析。在8：35这个采样点上，我们可以观察到ICMP报文的数量远远大于其他时间。这是一个非常奇怪的现象，因为在正常的网络中ICMP的报文数量应该处于一个相对比较平稳的状况。于是我们利用SNIFFER软件打开我们采样得到的数据包，对里面的数据进行分析。4）对几种数据包进行分析a） 对HTTP（超文本传输协议）数据包进

13、行分析：HTTP是主要用在万维网上存取数据的协议。此协议传送数据的形式可以是普通正文、超文本、音频、视频，等等。它被称作超文本传送协议是因为它的效率可以从一个文档迅速跳到另一个文档的超文本环境。HTTP的思想非常简单。客户给服务器发送请求，它与邮件看起来相似，服务器向客户机发送相应，看起来象邮件回答，请求和报文携带的数据形式类似于MIME格式的信件。b） 对ARP（地址解析协议）报文进行分析：ARP的作用是把逻辑地址映射为物理地址，使用单播和广播物理地址。任何时候当主机或路由器需要找出另一个主机或路由器在此网罗上的物理地址时，它久发送一个ARP查询分组。这个分组包括发送站的物理地址和IP地址，

14、以及接收站的IP地址。因为发送站不知道接收站的物理地址，查询就在网c） 对UDP（用户数据报协议）报文进行分析：TCP/IP协议族为运输层指定了两个协议：UDP和TCP。我先讨论UDP。UDP是无连接的，不可靠的运输协议。它提供进程到进程的通信，没有给IP服务添加任何负担。同时，它还完成非常有限的差错检验。该协议非常简单，开销非常小。由图可以看出UDP用户数据报共有如下的字段：1 源端口号：这是在源主机上运行的进程使用的端口号，它有16位长。图中的源端口号是306012 目的端口号：这是在目的主机上运行的进程使用的端口号，它也是16位长。图中的目的端口号为974。3 长度：这是一个16位字段，

15、它定义了用户数据报的总长度，首部加上数据，图中长度为111。根据软件的分析我们看出，在数据报中指定的数据报长度比实际收到的数据报长度要大。因此我们怀疑该数据报在传输过程中出错了。4 检验和：这个字段用来检验整个用户数据报出现的差错。此处检验和为AB56，经检验无法进行证实，因此确信该数据报传输过程中有一部分数据丢失了。5 最后一行给出了该UDP报文的大小为86字节，而实际应该收到的数据应该为103个字节。d） 对TCP（传输控制协议）报文进行分析：TCP是面向连接的，可靠的传输协议。它工作于传输层。传输层具有几种责任。一种责任就是创建进程到进程（程序到程序）的通信，TCP使用端口号来完成这种通

16、信。另一种责任就是在运输层提供流控制和差错控制机制，TCP使用滑动窗口协议来完成流控制，它使用确认分组、超时和重传来完成差错控制。由图可以看到TCP报文的源端口和目的端口分别为1187和21（因此这实际上是主机在请求一个FTP服务）。然后给出了序号，然后是首部长和保留和特殊字段，窗口大小为65535，检验和为408B，下面是选项及补充字段。1 源端口地址：这是一个16位的字段，它定义了在主机中发送该报文段的应用程序的端口号（1187）。2 目的端口地址：这是一个16位的字段，它定义了在主机中接收该报文段的应用程序的端口号（21）。3 序号：这个32位的字段定义了一个数，它指派给本报文段数据的第一个字节（20EB3186）。4 确认号：这个32位的字段定义了源进程期望从对方接收的报文段的序号，如果报文段的接收端成功的接收了对方发来的序号X，它将确认号定义为X+1（Ox00000000,表示还没有接受到对发发来的报文）。5 首部长度：这个4字段指出TCP首部共有多少个4字节字。（7）6 保留：这个6字段保留为今后使用。7 其他：有定义控制和窗口大小和紧急指针和选项。九、实验结论l 网络流量随时间变化很大，清晨的流量最小，中午和下午的流量较大。研究生普遍来教研室较晚，中午十二点流量也维持在较高的水平上是因为他们在走的时候没有关电脑，而