网络分析系列之三抓包分析原理及企业级抓包分析需求

这一节介绍抓包工作原理&＃xff0c;以及在现代企业中要实现7*24小时实时数据包采集该如何的部署相关产品的概要信息。

抓包工作原理

数据包采集过程涉及软件和硬件之间的协作过程&＃xff0c;主要分为3个过程。
第一&＃xff0c; 采集。数据包在网络传输介质中以原始的二进制方式传输&＃xff0c;抓包软件将采集端口设置为混杂模式&＃xff0c;直接采集二进制数据。
第二&＃xff0c; 解码。数据包采集软件将采集到的二进制数据通过解码方式&＃xff0c;保存为基本的具有可读性的文本格式。
第三&＃xff0c; 分析。对采集和解码转换后的数据进行展示。这个阶段的工作常见于基于命令行的文件内容显示&＃xff0c;或基于图形界面的协议分析工具查看。
上述三个阶段是我们常见的基于TCPDUMP或便携式协议分析软件采集包文并分析的过程。但这种工作过程存在诸多的限制&＃xff0c;如数据包采集环境的特定性&＃xff0c;数据包采集的时效性及数据存储和分析的高性能要求等等。
简单的说&＃xff0c;类似Wireshark这种便携式协议分析工具&＃xff0c;虽然具有强大的解码分析能力&＃xff0c;但在当今复杂的网络环境下&＃xff0c;高吞吐量的数据传输和更加快速定位故障的需求下&＃xff0c;无论是数据采集能力&＃xff0c;还是更为友好直观的分析展现能力&＃xff0c;便携式分析软件都显得苍白无力。这时就需要专业的企业级网络流量分析系统来完成该工作。

企业级网络数据包采集方案

企业级网络流量分析系统&＃xff0c;通过探针设备来收集和存储指定链路的全部流量数据&＃xff0c;现无人值守&＃xff0c;对关键业务系统、链路进行7×24小时、全方位的流量监控&＃xff0c;智能学习关键性能指标的基线值&＃xff0c;当业务或网络相关性能达到阈值时&＃xff0c;进行主动预警&＃xff0c;并可以实时/事后对需要的原始包进行下载和分析解码&＃xff0c;快速定位问题原因。

系统工作方式

系统即探针&＃xff0c;探针的采集方式&＃xff0c;是透过采集口&＃xff0c;监控从交换机镜像的流量来实现。每台设备配有多个千兆或万兆采集端口&＃xff0c;用来监测流量和网络管理。

一般来说&＃xff0c;探针部署在靠近监控的线路旁&＃xff0c;监控方法是透过从交换机把流量镜像&＃xff0c;然后把镜像的流量导入到设备里分析。整个安装与配置过程在一个小时内能完成&＃xff0c;其间对网络是零影响&＃xff0c;并且服务器或客户端不需安装任何代理程序&＃xff08;如SNMP代理&＃xff09;。

系统主要功能

企业级网络流量分析系统&＃xff0c;通常采用专业的硬件设备&＃xff0c;具有大容量存储和高性能数据包采集能力&＃xff0c;不但能长期保存原始数据包&＃xff0c;也可以进行图像可视化分析&＃xff0c;同时具有更多的高级分析能力&＃xff0c;如对业务、应用、网络、用户、安全等信息的详细分析。
企业级网络流量分析系统&＃xff0c;一般具有如下功能。
无人值守&＃xff0c;7*24小时实时分析
随着信息化的迅速发展&＃xff0c;网络的规模、应用、结构也越来越复杂&＃xff0c;通过无人值守的方式&＃xff0c;及时了解网络资源的负载情况、应用使用的趋势状况变得越来越重要。我们按地址段对各院区、楼宇之间的链路进行定义&＃xff0c;并进行7×24小时的实时监控分析&＃xff0c;可随时查看链路中的应用构成、比对分析链路的趋势。
应用服务水平监控
应用服务水平分析需监控全局的网络应用状况&＃xff0c;并结合业务管理层视角的考虑。因此&＃xff0c;设备提供服务水平监控仪表盘&＃xff0c;并根据事先设定好的SLA&＃xff08;Service Level Agreement / 服务水平指标&＃xff09;&＃xff0c;监控网络情况是否违反SLA&＃xff0c;什么时候违反了&＃xff0c;违反的严重程度&＃xff0c;及指出违反SLA的服务与主机。
最终用户体验监测
具有强大的最终用户体验监测功能&＃xff0c;主要包括&＃xff1a;
Web应用访问热图监控最终用户体验
深度分析Web应用性能监控最终用户体验
细分应用各个延时组成监控最终用户体验&＃xff08;web方式展现&＃xff09;
细分应用各个延时组成监控最终用户体验&＃xff08;控制台方式展现&＃xff09;
管理复杂网络
系统允许将网络数据组织成业务组和应用&＃xff08;IP地址和端口&＃xff09;&＃xff0c;并利用这些数据自动对管理对象进行整合且生成警告信息。管理对象包括各分支机构、各部门的硬件系统、端到端的业务应用系统。
客户网络中任何位置的任何问题所造成的业务影响立即变得透明&＃xff0c;从而可快速的获得故障诊断所需的所有信息。进而&＃xff0c;故障诊断系统立即将警告来源进行分类为&＃xff1a;服务器、业务应用或网络。于是客户可马上指派相应人员排除故障。这样网站管理人员不再是受指责、经常被抱怨的对象。
网络安全与异常主机监测
系统通过对采集的网络流量进行挖掘、关联性分析&＃xff1b;将网络流量、访问行为和业务系统&＃xff08;应用&＃xff09;的安全结合起来&＃xff0c;是帮助管理人员掌握网络资源使用情况、分析业务系统异常情况&＃xff0c;保障业务系统的安全、稳定和高效运行的有力手段。
系统采用旁路监听方式从网络中心节点采集流量信息&＃xff0c;对网络设备和节点的流量信息和网络行为进行持续性统计和对比分析&＃xff0c;快速发现流量和连接数的异常变化、网络行为中的异常访问操作和攻击操作&＃xff0c;追踪和审计异常网络行为&＃xff0c;为管理员提供报警通知和处理功能&＃xff0c;并通过联动对网络异常行为采取阻断等进一步处理。

续更&＃xff08;下一节《网络数据包采集硬件和部署》&＃xff09;
更多详情请点击了解