中国化工信息网 | 中国化工信息网*英文版  
首 页
学会介绍
业界动态
专家评述
技术服务
行业案例
互动论坛
专业论文
展会消息
会员服务
* 第十一届中国化工学会信息技术应用专业委员会年会征文通知
* “2006年全国化工行业信息化应用研讨及成果表彰交流会”圆满闭幕
* 全面落实科学发展观 信息技术推动企业资源节约------资源节约型企业信息支撑技术交


利用NetScout识别网络中的P2P流量


由于网络的应用日渐繁多,基于网络的各种应用也成数量级的增长,如何把握这些网络流量是否影响到我们正常的工作?如何确定哪种应用是否正常?如何能够比较客观地区分网络应用?这些问题都为我们网络的高性能、高效率等日常维护提出了新的要求。这里,就现在比较流行的P2P流量进行分析说明。

1.P2P技术

P2P技术,也称为对等网络(Peer to Peer)技术,它最直接的功能就是让用户可以直接连接到网络上的其他计算机,进行文件共享与交换。它与目前网络中占据主导地位的客户端/服务器(Client/Server)结构(也就是WWW所采用的结构方式)的一个本质区别是,整个网络结构中不存在中心节点(或中心服务器)。在P2P结构中,每一个节点大都同时具有信息消费者、信息提供者和信息通讯等三方面的功能。在P2P网络中每一个节点所拥有的权利和义务都是对等的。

P2P技术给我们带来高速文件传输的同时,也占用了大量的网络带宽,加重了网络的负荷,影响了油田正常生产数据的传输,由于很多监测软件不能具体识别P2P流量,因此在网络监测中有必要将这种特殊的网络应用进行专门识别。这里就针对使用P2P技术的两款下载软件BT和Edonkey进行分析说明。

2.利用NetScout识别P2P的应用

NetScout是一家有关网络性能管理方案的厂商,产品包含硬件探针及软件系统。在软件方面,系统名称为nGenius Performance Manager(PM),功能包括实时流量监控、数据包捕捉及解码、VoIP监控、流量异常告警等。nGenius Performance Manager本身是一套独立而完整的网络监控及性能管理系统,但同时它也可以与第三方网络管理平台如CiscoWo- rks 或HP OpenView实现整合,使用户可以组建一体化的综合性网络体系。 netscout解决方案支持的数据源比较丰富,包括mib2,mini-rmon等数据链路层的信息,netflow,sflow等3-4层信息,以及专用硬件探针probe提供的1-7层信息。通过netscout专利的cdm技术,把不同的数据源在一套系统一个界面中实现。其实上述三种不同的数据源在系统都是以同一的格式(CDM)存储在内置的sybase数据库中。这一点上,它与其他很多软件有着本质的区别,其他软件更多的是以不同的模块管理不同的数据源的方式来实现,彼此独立,只是共享一个界面/框架。

下面就以Netscout的PM应用系统来分析网络特殊流量,为了更好地探讨网络异常流量的实时监控,实验环境设定:已知BT使用的端口号是16881,而不知道edonkey使用何端口,edonkey是通过监测网络异常流量而进行特殊抓包后才可知而定义的。

首先需要在global setting 中定义P2P这个特殊应用(如图1所示),这样才能在网络应用图上看到此具体应用在所有应用中所占的比例。在定义具体的BT端口之前,应先将定义BT属于哪个应用组别,因此我们建立一个新的应用组,命名为P2P,描述为“include bt and edonkey”,如图2。这样在应用的组别中就会有定义好的P2P的应用。接下来在TCP已知端口选项中定义bt端口,端口号为16881,如图3所示。这样,我们就为BT这个应用进行实时的监测提供了条件。

 

 

我们从PM的实时监测端口中发现有一个端口的流量异常,该端口是TCP的4662端口,与其它端口相比,此端口的流量远远高于其它端口的应用,网络流量竟然达到了18.85G,如图4所示。为了探明这个端口发生的具体连接和应用信息,我们需要对此端口进行实时抓包。在这个特殊端口中右键点击“capture”选项,选择“Real Time Decode”实时解码,从图5可以看出,我们设定的端口捕获是发包源地址的端口号为TCP4662端口的所有流量,并且是双向捕获。捕获的结果如图6所示,图的上方是实时捕获的帧的一般信息,描述的是此帧的源和目标地址以及源和目标地址的端口号;中间的窗口是就选择的某一帧的具体信息,这里可以看出该帧的大小、长度、使用的协议以及1到7层捕获的详细信息;下方的窗口显示的是捕获的某一层的具体信息。

 

经网上相关信息查询,知道4662是P2P的另外一个应用Edonkey使用的数据传输端口,因此同BT一样,需要在PM的全局设置中设定edonkey的具体应用,使edonkey也属于P2P组,如图7。

    通过以上的设定,我们就可以从网络流量图中清楚地看到P2P在网络应用中所占的份额,如图8所示。这是某单位在一个星期内的网络应用统计,从图中可以看出,属于P2P的BT和Edonkey的应用占了总应用的57%,而Web的应用只有40%,这说明此单位的P2P流量占用了大量的网络资源,而且属于与工作没有密切相关的网络应用,应该在工作时间予以杜绝,以保证正常的生产数据传输。

  

    从以上的具体实例可以看出,通过对Netscout PM的具体设置,可以监测出我们不熟知的网络流量,并对这些流量进行跟踪、捕获和分析,然后采取管理和技术上的手段,对与油田生产不相关或者甚至会严重影响正常生产数据的应用加以限制,使高效的、安全的网络为油田的生产应用更好的服务。(作者单位系新疆油田公司数据中心)

 

|
合作伙伴
|
友情链接
|
联系我们
|
意见反馈
|

Copyright 2005 中国化工信息网IT频道 Best view : 800*600
中国化工信息中心 中国化工信息网 设计制作