网路流量管理
- 1. 網路流量管理前言 系統架構 網路流量檢測 網路設定監控 網安事件偵測 心得 XXX
- 2. 前言網路的發展在近年來持續的成長,如何讓現有有限的頻寬做最好的應用是現今網管工作人員重要的課題,但要能有效的掌握現階段的網路使用情形,網路流量分析是不可或缺的評估項目。暸解和掌握網路上的使用狀況一直是網路管理者非常關切的問題,因為在目前網路頻寬不足的狀況下,如何對現有的網路做調整和對未來的設備擴充作預估,這些重要的評估都必須在對於現階段網路的使用狀況能有充分了解的基礎上,才能客觀的做出合理的決定。要了解網路狀況最重要的關鍵在於瞭解網路的流量及相關各類網路服務的使用情形 。
- 3. 系統架構硬體需求:一台舊電腦(以CPU為Pentium 166,RAM為32M,硬碟為3G,配備一片網路卡 為例) 作業系統:Trustix 1.5(RedHat Linux) 資料庫系統:使用MySQL Ntop主程式:封包擷取元件、封包分析元件、迷你網頁伺服器及資料庫客戶端 (市面上還有其他管理程式,但是都要錢,此程式是免費,專門針對小型網路)。
- 4. 網路流量檢測Ntop對每一台可見的主機,均對其資訊傳輸活動加以記錄,包括: 資料傳送及接收:依據不同的通訊協定分別統計其傳送及接收的資料量與封包數量。 IP多址廣播:對發出或接收多址廣播(multicast)的主機分別記錄其傳輸量及封包數量。 TCP連線記錄:目前已建立的網路連線,及其相關流量資料。 UDP資料傳輸量及其通訊埠。 TCP與UDP服務項目。 作業系統名稱。 個別主機的頻寬使用率。
- 5. ntop亦對網路整體流量分類統計 流量分佈情形:區分為本網路主機之間、本網路與外部網路之間、外部網路與本網路之間的網路流量統計。 封包分佈情形:依據封包大小、廣播型態及IP與非IP等加以分類及統計。 協定使用及分佈情形:本網路各主機傳送與接收資料所使用的通訊協定種類與資料傳輸量。
- 6. 網路設定監控IP重複使用情形。 擅自設定路由功能或子網路遮罩設定錯誤情形。 網路應用程式設定錯誤情形 網路服務濫用情形:例如機關規定瀏覽外部網站必須經由proxy主機,而使用者故意規避的情形,其他如自行建置HTTP及FTP伺服器之情形。 使用者設定不必要的通訊協定:例如在無Novell伺服器的環境中發現IPX通訊協定之情形。 過度耗用頻寬的情形:例如持續傳輸大型檔案,長時間佔用頻寬,以致於影響他人作業之情形
- 7. 網安事件偵測通訊埠掃描的偵測:通訊埠掃瞄可能是進一步入侵行為的前奏,故必須謹慎因應。 特洛伊木馬的偵測:一些著名的木馬程式使用特定的通訊埠,藉已發現可疑的木馬程式,對於具有變換通訊埠功能的木馬,則須管理人員提高警覺,隨時對可疑的通訊埠進行追查,才能發現。 阻斷服務攻擊的偵測:對於大量出現設定SYN旗標卻無後續連線動作的封包,持續湧向特定主機的情形,可能是一種DOS攻擊,其結果將造成受害主機耗盡其系統IP堆疊,以致於無法與其他主機建立新的連線 可疑封包的偵測
- 8. 心得網路流量偵測,不但能使我們了解到網路上的情形,更可以進行網路安全的偵測,探索網路流量相當等於去了解網路上使用者的行為反應,這對了解網路生態環境,並對現有網路資源做最有價值運用的提供了一個重要的指標。不但如此對於未來下一代的網路規劃,現階段網路流量亦是一個重要的參考依據,在未來網路調整頻寬上,也能發展出更好的網路管理技術,提升網路方面上的能力!!
相关PPT