【51CTO獨家特稿】網絡危害之四問網管人員

作為一名網絡管理人員，您是否經常遭遇下列問題呢？

一問：網絡利用率很高，寬帶被大量占用，經常有流量暴漲導致網絡擁堵——到底是誰在使用網絡，在使用網絡運行什么程序，導致擁堵的原因是什么，如何找到“兇手”？

二問：網絡帶寬不足，需要優化，但缺乏統計數據為未來網絡建設計劃及決策做支撐。

三問：用戶抱怨服務器不響應請求，網絡中斷，但是原因不詳——到底是服務器負載太高的原因，還是網絡擁堵呢？

四問：希望獲得詳細的網絡管理報表，如：IP地址，服務端口及協議的流量分布等。

應用異常流量分析可以解決上述問題，這是網絡性能管理重要的一環。其原理就如同醫生使用X光、超聲波一樣，可以透視企業內部網絡運作情況，對網絡威脅做到一目了然。

網絡危害監測技術現狀   

根據對網絡異常流量的采集方式可將網絡異常流量監測技術分為：基于網絡流量全鏡像的監測技術、基于SNMP的監測技術和基于流量分析協議的監測技術三種常用技術。   

基于網絡流量全鏡像的監測技術。網絡流量全鏡像采集是目前IDS主要采用的網絡流量采集模式，其原理是通過交換機等網絡設備的端口鏡像或者通過分光器、網絡探針等附加設備，實現網絡流量的無損復制和鏡像采集。和其他兩種流量采集方式相比，流量鏡像采集的***特點是能夠提供豐富的應用層信息。    

基于SNMP的流量監測技術。基于SNMP的流量信息采集實質上是通過提取網絡設備Agent提供的MIB(管理對象信息庫)中收集一些具體設備及流量信息有關的變量。基于SNMP收集的網絡流量信息包括：輸入字節數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數等。

基于Netflow、sflow等網絡流量分析協議的流量監測技術。流量分析協議信息采集是基于網絡設備提供的流量分析協議機制實現的網絡流量信息采集，在此基礎上實現的流量信息采集效率和效果均能夠滿足網絡流量異常監測的需求。而各個廠商又有其私有的網絡流量分析，如應用最廣泛的當屬Cisco公司的Netflow網絡流量分析協議，除此之外還有以華為和H3C為代表的NetStream網絡流量分析協議，以及sFlow、cFlow等。 

摩卡網絡流量分析(Mocha Network Traffic Analyzer)

摩卡流量分析管理軟件，它是摩卡軟件有限公司(Mocha Software Co., Ltd.)針對各行業企業的網絡系統，通過支持各種廠家的流量統計協議，并獲取核心網絡設備流量分析協議包，分析和統計網絡的真實流量，以及對網絡流量中的協議進行分析，來達到監控網絡流量的目的。

Mocha NTA首先帶來了網絡帶寬使用模式的可視化。

一般情況下，網絡出現問題后網絡管理員只是獲得到一個表象，比如，網絡速度慢，網絡丟包等，這使得網絡管理員無從下手，只能通過猜測的方法去重復的登錄一個一個的網絡設備去核查可疑的因素，這大大加重了網絡管理維護人員的負擔，但是收效甚微，往往達不到預期的目的。

而Mocha NTA可以使網絡管理人員從下列幾個步驟入手快速定位和解決問題：

首先，定位是哪種協議占用的網絡流量***，如下圖： 

圖

通過上圖可以看到是http這種應用占用了超過半數的網絡帶寬，同樣如果網絡中正在使用網絡流氓性質的軟件，比如P2P軟件的話，也可以在上面的圖中顯示出來它所占用的百分比。

然后，通過點擊上圖中的http可以查看到網絡中正在使用此協議的源IP和目的IP地址，從而可以進一步判斷是哪一個源IP在占用***的網絡帶寬。 

圖

從上圖可以看出是192.168.17.208所占用的流量是***的，可以通過點擊此條目，查看此臺計算機終端上所占用的所有的網絡流量。如下圖：

圖

 如果查到某個計算機在使用P2P軟件后可以結合摩卡的網絡拓撲背板功能，直接將此計算機終端和網絡斷開，從而從根本上解決了網絡帶寬占用的問題。

總結

摩卡網絡流量分析協議能夠幫助網絡管理員對有效的加強網絡管理，從而防止網絡危害事件的發生。完滿地回答了網絡危害之四問，是網絡管理員的有力幫手，為企業網絡的健康保駕護航。