巧用流量分析轻松排查网络故障

2009/2/17 来源:www.arpun.com 作者:小白

网管人员在工作中经常会遇到网络风暴或者病毒引发的整个网络瘫痪, 这时管理员通常会采用重启交换机的方法来解决……

  网管人员在工作中经常会遇到网络风暴或者病毒引发的整个网络瘫痪, 这时管理员通常会采用重启交换机的方法来解决。 但是这样的方式不能从根本上解决问题, 往往过一会整个网络又陷入瘫痪, 管理员只能每个交换机挨个排查, 登陆到每个交换机去查看哪个端口的流量异常大。

  这种故障处理方法工作量大, 效率低, 往往要花费很长时间才能找到源头。

  流量分析原理

  其实面对这种难题, 我们网管人员完全可以通过某些工具对网络中的流量进行分析来快速的定位和解决。

  这里我们介绍一下Cisco公司的流量协议NetFlow, 其实业内的网络设备厂商都有各自的流量协议, 例如华为的NetStream、Foundry等公司的sFlow等, 这些协议的工作原理都是与NetFolw类似的。

  NetFlow最初是由思科公司开发的一种专有技术, 它被应用在思科的互联网操作系统(IOS)中, 目前部署最多的版本是v5。 不过, v7和v9正在变得越来越普及。

  NetFlow是路由器用来跟踪每个开启NetFlow功能接口上的所有进入会话的技术。 它根据7个关键标准分析数据包, 如果两个包在所有7个判断标准上都匹配的话, 就把它们归类为相同的流量或会话。 一旦会话结束或被汇总, 就被传送给采集器。 NetFlow将主机之间可能由成千上万个数据包组成的会话(即传输流)汇集为一个NetFlowv5数据包中的一个条目(最多可包括30个会话)。 换句话说, 一个NetFlow包可以描述30台主机之间的数万个数据包。 如果NetFlow配置恰当并且硬件没有过载的话, 这种技术可以以接近100%的准确性来描述谁经过设备进行通信, 并且对设备CPU的影响非常小。

  不过, 大多数数据域在汇集的过程中丢失, 只有源与目的IP地址、协议、类型、QoS、自控系统和其他一些域被保存下来。 但其实这些信息对于反应整个网络的异常情况已经足够了。

  故障解决方法

  一般来说网络的故障有几种特征, 例如:

  1、网络传送大量的数据包, 导致整个网络瘫痪。 例如某个机器中毒后, 发送大量的广播包, 也就是目的地址是广播地址的数据包。 这时我们可以通过查看流量协议的数据包来找到这个广播风暴的源头。

  2、网络中的某台机器中毒后发送ARP欺骗, 一般ARP欺骗都是进行网关欺骗, 导致网络中的其余电脑都更新本地的ARP缓存, 这样本来发往网关的数据都发送到了中毒的机器。

  因此我们知道, 如果一个电脑进行ARP欺骗, 必然发送大量的ARP回应, 而不是ARP询问, 我们只要查看流量的数据包, 就可以找到谁发送了大量的ARP回应, 就可以很快的找到中毒的这台电脑。

  摩卡网络流量分析(Mocha Network Traffic Analyzer)

  前面我们提到可以采用流量分析的工具来帮助管理员解决, 那么如何来选择这种工具呢?

  市场上类似的产品不少, 我们来看一下摩卡软件新推出的网络流量分析软件Mocha NTA吧。

  Mocha NTA支持所有主流的流量分析协议既包括NetFlow、sFlow也包括NetStream。

  我们来看一下怎么通过Mocha NTA来找到网络中的病毒发源点,

  通过流量的TOP5排行, 可以很迅速的定位出目前流量最大的几个IP地址, 一旦发现了与正常情况下不一致流量, 基本就可以定位出广播风暴的来源了。

  同样也可以通过查看目前网络中协议的一个排行情况, 而且协议的排行也同时显示IP地址信息, 因此像类似ARP病毒的情况也可以很快的定位。

  通过流量分析, 大大的简化了网络管理员的故障处理难度, 从此网络管理变得轻松。

网友评论
评论(...
全部评论