如何监控局域网的流量(目前最强的局域网软件)

如何监控局域网的流量(目前最强的局域网软件)

(1)基于硬件探针的监测。

硬件探针是种获取网络流量的硬件设备， 将它串接在需要监控流量的链路 上，分析链路信 息从而得到流量信息。一个硬件探针可以单个子网的流量信息，全网流量分析则需部署多个探针。这种方式受限于探针接口速率，因此适作单链路流量分析。

(2) 基于流量镜像协议分析。

基于流量镜像协议分析方式是把网络设备的某个端口或者链路流量镜像给协议分析仪，通过7层协议解码对网络流量进行监测。这种方式特别适网络故障分析。缺点是只针对单条链路，不适全网监测。

(3)基于SNMP的流量监测。

基于SNMP的流量监测，实质上是通过提取网络设备Agent 提供的MIB中收集的具体设备及流量信息有关的变量。

基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。

由于SNMP技术的广泛应用，因此支持设备众多，使用也非常方便，但是存在信息不够全面、准确等问题，该方式常与其他临控方式结使用。

(4)基于NetFlow的流量监测。

一个Netflow系统包括三个主要部分：探测器，采集器，报告系统。探测器是用来网络数据的。采集器是用来收集探测器传来的数据的。报告系统是用来从采集器收集到的数据产生易读的报告的。

通过分析网络中flow的不同差别可以发现，他们共同拥有以下几个属性：

NetFlow 能获得流量的分类或优先级，因此可以提供QoS的基准数据。

NetFlow属于*部署级方案，部署简单、升级方便，可以进行全网流量的采集，并且网络规模越大，部署成本越低。NetFlow的缺点是不能分析物理层、数据链路层信息。

流量监控的基础是协议分析。

方法

(1)端口识别:根据IP包头中“五元组"的信息(源地址、目的地址、源端口、目的端口以及协议类型)进行分析，从而确定流量信息。随着网上应用类型的不断丰富，仅从IP的端口信息并不能判断流量中的应用类型，更不能判断开放端口、随机端口甚采用加密方式进行传输的应用类型。

(2)深度包检测(Deep Packet Ispecto.n DPD): DPI 技术在分析包头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术。当IP数据包、TCP或UDP数据流经过安装DPI的系统时，该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到应用所使用的协议和特点。

DPI识别技术的分析方法有:

(3)深度流检测(DepDymami Flow Ispectonn DF): DFI采用的是基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同，例如，IP 语音流量特点是:一般在130 20be连接速率较低，网时会话持续时间较长: P2P 下载应用的流量特点:平均包长都在450byve 以上、下载时间长、连接速率高、传输层协议为TCP等。

依据流量的特点，DFI建立了流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比， 从而识别应用类型。

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼

局域网