校园网流量监控与异常处理

(河南省轻工业学校 信息系,河南 郑州 450006)

摘要:随着校园网规模的扩大,安全威胁越来越多,流量监控显得日益重要,重要。该文阐述了对校园网进行流量监控的方法,重点介绍了MRTG的使用,并对各种可能出现的流量异常进行了分析,并给出了解决办法。

关键词:MRTG;流量监控;流量异常

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)28-7886-02

Traffic Monitoring and Treatment of Anomaly Traffic In Campus Network

SONG Bin

(Henan Light Induststy School, Zhengzhou 45006, China)

Abstract: With the development of campus network,the problem of network security becomes more and more severe. Traffic monitoringbecomes more and moreimpormant。The article elaboratestraffic monitoring methods incampus network, focusing on the use of MRTG, and analysises a variety of possibleAnomaly Traffic, and gives solutions.

Key words: MRTG; traffic monitoring; anomaly traffic

1 校园网概况

随着校园网的快速发展,校园网网络规模不断扩大,各种新型应用不断增加,如各种p2p的应用,音视频点播服务等等,对网络管理的要求越来越高,而另一方面校园网中的安全威胁(如DDOS、蠕虫、恶意代码等)却越来越多。这就需要对校园网流量进行监控,以便随时发现流量异常,及时定位引起网络异常情况的源头,有效地控制异常流量的蔓延,及时有针对性地采取措施,以避免网络阻塞。同时合理地分配带宽,保障主要业务的正常开展。

2 流量监控方法

流量监控一般有几种方式可以采用,第一种是使用Sniffer Portable,可以装在PC机或笔记本上,对包的解码和分析能力很强大,资源耗费大,适合局部网络。需要对交换机进行端口映射,连接到映射端口上,就可以监控其他端口流量了。Sniffer Portable可以实时采集多种数据并保存到数据库中,同时可以通过其分析部件实时监视和显示这些数据的统计信息。没有硬件支持的话不能用于千兆以上的网络。第二种是流量探针,标准流量探针由Manager和Agent组成,Agent 通常是由物理上的硬件设备来实现。一个Agent按照RMON标准监视一个子网(通常是一条链路)的流量信息,Manager通过SNMP从Agent获得测量数据。流量探针价格昂贵,不适合大面积安装,比较适合在汇聚层或接入层的某些重要节点内部实施。第三种是使用netflow,NetFlow是Cisco公司提出的网络数据包交换技术,它同时可用来记录网络流信息。NetFlow记录的流包含了丰富的信息,非常适合于网络性能分析。可以为流量分布、业务分布等性能分析提供最充足的数据,但需要消耗一定的路由器资源(CPU和内存)且不能实时捕捉数据包。思科的设备支持netflow技术。netflow需要一台UNIX工作站作为流的收集工作站,所有路由器或交换机上发送的NetFlow流都将送到此工作站集中,方便处理和分析。第四种是MRTG,优点是结果采用Web方式输出方便实用,而且是免费产品,在世界各地有很多的开发人员不断对其升级和改进。 缺点是功能较单一,分析功能不强,其收集到的流量信息是端口的统计信息,不能用于复杂的分析,但进行监控很方便,能不受干预,连续工作,支持设备很广泛,也由于全免费,采用的用户较多,可以在UNIX下和NT操作系统下使用。

3 MRTG的使用

MRTG常常被用来收集网络节点端口流量统计信息,可以监视网络链路流量负荷,它将真实流量数据统计信息通过HTML页面实时输出,使得维护人员可以迅速地发现网络的故障和可能发生故障的节点。可以在网络各重要节点部署安装,如在各主要部门出口部署安装。可以提供各种统计时间的统计图表,如一天(基本时长为5分钟)、一周(基本时长为30分钟)、一月(基本时长为2小时)等。统计的时间越长,就越能反映出网络的真实状况和网络流量的变化规律。短时间统计可以用来帮助维护和分析网络故障,长时间统计可以为规划设计提供科学可靠的数据。

图1是MRTG在一周(每隔30分钟)流量测试数据波形图。

通过观察一周流量变化情况,可以看出一周中相邻的各天流量的大小和变化趋势非常相似,上午大部分学生在上课,所以流量也不大,流量的高峰期一般都在下午到晚上11点之间,这样就使得每天交换机流量的变化基本一致。在高峰期如果出现拥塞现象,可采取适当限制措施,如限制端口速度,或对p2p应用限速等措施,如果发现流量突然异常,可以怀疑出现网络蠕虫病毒的攻击等可能。及时进行排查,避免网络陷入堵塞甚至瘫痪状态。

通过创建VLAN,把各个区域进行数据通信的隔离,可以防止广播风暴,减少网络拥塞。各网段如果需要,可以使用三层交换机实现互通,某些网段或服务器可以限制特定网段的访问。

4 MRTG基础上开发的流量监控系统进行流量监控与分析

MRTG使用perl语言,原代码公开,把它的数据调用,可以灵活应用,表1是使用在MRTG基础上做的MRTG监控系统在本单位核心交换机上08年9月份测出的校园网Internet出口流量数据。

包括p2p下载,网络电视,流媒体在内的p2p应用达到总带宽的46.76%,网络比较拥塞。据资料显示,有的地方p2p应用占据达到总带宽的百分之七八十。对网络造成了一定的影响,特别是象一些企业,有些ERP,信息管理系统等关键性网络应用,受到p2应用的影响,这种情况下需要对p2p的应用做一些限制。如限制端口速度等。

5 异常流量分析与解决方法

分析目前互联网中存在的大多数异常流量,特别是对于近年来在互联网中造成较大影响的多数蠕虫病毒( 如红色代码、冲击波等),分析效果非常明显,例如:当某台计算机感染蠕虫病毒后,将迅速在网络中蔓延,导致网络传输速率大幅下降,甚至使网络瘫痪。网络管理员可以通过流量监控,及时发现并断掉相应端口,保证网络工作正常。

异常流量的处理方法主要有以下几种:

1) 切断物理连接

在能够确定异常流量源地址的情况下,切断异常流量源。切断设备的物理连接是最直接的解决办法。

2) 防火墙预设策略

针对大范围发作的网络病毒,可在防火墙上设置安全策略,设定对应方案。

3) 过滤

如果是路由器,可以采用ACL过滤,能够灵活实现针对源、目的IP地址、协议类型、端口号等各种形式的过滤,但同时也存在消耗网络设备系统资源的副作用。例如SQLSlammer病毒是通过UDP1434端口来传播的,当在该端口发现可疑流量时,可以通过修改ACL列表来过滤此流量,扼制了病毒在网络内的进一步传播。下面是配置ACL的实例。

Aeeesslist 101 denyudpanyanyeq1434

Aceesslist 101 Permit ip anyany

4) 异常流量限定

可对产生异常流量的端口流量进行限制,如限定UDP1434端口的流量为10Kbps。一些蠕虫病毒所占用的端口可以从路由器直接禁止访问。

5) 对P2P应用的限制

由于p2p的应用日益增加,有时会给网络造成困扰,有时候有必要限制p2p的使用,有时甚至必要禁止p2p的应用。

常见的办法有限制每个端口的速率,或者总量限制,如BT下载的流量总量控制在一定范围内。或者分时断控制,如晚上10点半前限制BT的使用,10点半后开放BT的使用。使不致于少数用户p2p的应用占用过多的带宽,甚至造成网络的拥塞。

参考文献:

[1] 史忠植.MRTG的研究与部署[J].计算机应用.2004,24(3).

[2] 张朝贵.用MRTG监视网络流量[N].四川轻化工学院学报,2002.

[3] 郝星文,李怀诚.网络流量分析系统的设计与实现[D].北京:北京邮电大学,2005.

推荐访问:校园网 流量 监控 异常