标签: 流量监控

在当今数字化时代，智慧医疗设备已经成为医疗行业的重要组成部分，为医疗服务提供了全新的可能性。然而，随之而来的是对网络质量和安全的更高要求。让我们跟随知名智慧医疗设备提供商的脚步，看看艾体宝Profitap IOTA如何在他们的实验室中发挥作用。 一、客户背景 客户是一家国内知名的医院智能通讯交互系统软硬件一体化综合解决方案提供商，他们所研发的产品目前主要应用在智慧病房、智慧门诊、智慧养老三大领域。 二、遇到的挑战 在研究实验室中，由于设备和终端众多，目前缺乏一种方便的工具可以全面查看网络情况，即实时监测网络中是否存在异常流量、突发流量等现象，同时也要有回溯网络的功能。此外，由于实验室中终端数量众多，客户还需要能够追溯和分析单台终端的网络流量情况，希望将该产品用于实验室测试以及监控他们自行研发产品的性能，以便更好地了解和管理实验室网络。 三、解决方案 艾体宝Profitap IOTA是一款强大的网络捕获和分析解决方案，适用于边缘和核心网络。IOTA将捕获、存储和分析功能集成在单一设备中，并且它可以部署在网络中的任何关键捕获点，用于监控实时和历史网络流量，而不影响网络性能或安全。IOTA在网络流量捕获和分析方面的应用优势如下： 直观的用户界面：使用一组全面的综合仪表板，一目了然地监控主机、最高流量者、带宽、延迟、TCP、UDP、IPv4、IPv6、VLAN、DNS 等。 高保真数据尽在掌握：IOTA专注于高质量流量捕获和分析，内置1 TB 或 2 TB 的存储空间，也可随时导出原始pcap包进行深入探索。 轻松部署和使用：可以串联在核心网络中，也可以通过SPAN将交换机的流量复制到IOTA中进行分析。 监控远程站点和分支机构：IOTA 通过 HTTPS 进行全面管理并具有内置 VPN，可以快速深入分析远程站点和分支机构的网络情况。 四、应用实例 在实际应用中，客户将 IOTA 产品应用于实验室环境中。实验室配备了一些类似于平板电脑的设备，这些设备通过以太网与服务器进行数据交互。为了更有效地监控设备和服务器的流量，客户将 IOTA 部署在设备交换机和服务器之间，形成了一个串联的网络结构。这种部署方案使客户能够实时监测设备和服务器之间的数据流动，从而及时发现任何异常情况并采取相应的措施。 五、实时流量监控/历史流量回溯分析 Profitap IOTA提供了实时流量监控和历史流量回溯分析功能，使用户能够全面了解网络的状态并快速解决问题，利用Profitap IOTA，我们可以实时监测智慧医疗设备产生的网络流量。 1.实时流量监控 实时捕获和分析网络流量，用户可以直观地了解网络上正在发生的情况。 控制面板可根据条件即时过滤大量网络流量，帮助用户快速找到对应设备的流量并进行深入分析。 用户界面显示最重要的性能指标，如重传、数据包丢失、延迟、吞吐量、可用性和连接性等，有助于快速识别网络问题的根源。 2.历史流量回溯分析 用户可自定义时间进行流量回溯分析，只需选择想要查看的时间段，即可轻松查看对应的流量数据。 使用历史数据追踪安全漏洞、服务中断和间歇性问题的根源。 Profitap IOTA将原始pcap包存储在内置硬盘里，用户可随时下载并通过wireshark进行分析。 支持备份到远程FTP服务器上，扩展存储空间，方便用户进行原始数据包存取。 Profitap IOTA的实时流量监控和历史流量回溯分析功能为用户提供了全面的网络管理和故障排除解决方案。 六、异常流量检测 Profitap IOTA 提供了强大的异常流量检测和分析功能，帮助用户监控网络基础设施的每一层，并及时发现潜在的网络异常和安全威胁。 1.全面监控网络数据 Profitap IOTA 可以捕获和分析网络数据，从最低 OSI 层到关键任务应用程序，实现对整个网络的全面监控。 借助高保真流量捕获和智能分析技术，用户可以监控所有网络数据，包括传输层以下的数据包，以及应用程序层的数据传输情况。 2.检测网络异常和安全威胁 利用 Profitap IOTA，用户可以轻松追踪网络中的安全漏洞和异常流量。 通过分析网络流量，用户可以及时发现可能的网络异常，如异常流量量、频率或来源，以及潜在的安全威胁，如网络攻击或恶意软件活动。 3.详细的协议和应用程序分析 Profitap IOTA 能够全面了解超过 200 个应用程序和协议，包括 TCP、DNS、HTTP、SSH、QQ、微博、微信、云服务等。 用户可以利用这些信息对网络流量进行深入分析，识别出不同协议和应用程序的使用情况，有助于更好地管理和优化网络性能。 可以对单个设备在特定时间段内的请求协议进行分类和分析。这使得我们能够深入了解设备的通信模式和行为特征，有助于发现潜在的问题和优化设备性能。 七、网络故障排查 通过Profitap IOTA，我们可以对智慧医疗设备和服务器之间的流量带宽进行实时监控。这有助于我们评估网络性能，及时发现并解决流量拥堵或带宽瓶颈问题，从而确保流量在设备和服务器之间的顺畅传输，提高系统的稳定性和效率。 当在研发实验室中发现智慧医疗设备出现问题时，我们可以利用艾体宝Profitap IOTA下载对应时间段的流量包进行辅助的定位。通过分析设备的通信过程和数据传输情况，我们可以更准确地确定问题所在，并采取相应的措施进行修复，缩短故障排除时间，提高设备的可靠性。 此外，IOTA还可以作为辅助工具用于智慧医疗设备网络质量的检测。通过监控和分析网络流量数据，我们可以评估网络连接的稳定性、延迟情况以及丢包率等指标，及时发现并解决网络质量问题，提高数据传输的可靠性和实时性。 总结 艾体宝Profitap IOTA作为一款专业的网络流量监控工具，在智慧医疗设备的研发和使用过程中发挥着重要作用。通过实时监测和分析设备的网络流量，我们可以发现潜在的问题、优化设备性能，保障医疗服务的质量和安全。

NetFlow是网络设备中标准化的功能，用于收集流量测量值并将其导出到另一个系统进行分析。对该流数据的分析通知网络管理器网络是如何执行的以及其他使用细节。例如，流量分析可以通过跟踪IP和突出显示异常（如过度使用流量）来帮助解决问题。 什么是NetFlow 最初由思科于1995年推出，NetFlow提供的理解流量数据的能力变得不可或缺，成为事实上的行业标准。到2008年，基于流的监控协议的普及推动了IETF在IPFIX中编码的NetFlow的标准化。尽管还有其他供应商协议，特别是J-Flow和sFlow，但NetFlow仍然是使用最广泛的基于流的监控协议。 NetFlow是如何工作的 NetFlow是路由器上的典型功能，然而，NetFlow监控需要三个组件才能向网络管理器提供可用信息。 1.流导出器 流导出器收集流缓存中的流数据，并定期将其导出到收集器。这个设备通常是一个路由器（一个低级设备）或防火墙，基本上将信息传递到收集器上。 2.流量收集器 流量收集器是数据存储服务器，用于接收流量数据，以便稍后由专用软件进行处理。 3.流量分析器 流量分析器是分析流量数据并呈现报告、警报、仪表盘和网络可视化的应用程序，用于向网络管理者通报其网络的性能和使用情况。 NetFlow传递哪些信息 当数据包进入路由器时，它将决定是否转发该数据包，如果是，则它开始根据该数据包的属性在流缓存中记录数据流。数据流由一组5-7个属性标识，这些属性的作用类似于指纹。共享相同指纹的数据包在流缓存中分组在一起。 每个流缓存条目根据数据包的属性保存以下信息。 1.目标IP地址 2.源IP地址 3.目标端口号 4.源端口号 5.源接口 6.第3层协议类型 7.服务类别 8.路由器或交换机接口 流数据将在流缓存中进行计数，直到流过期为止。在这一点上，流缓存信息被导出到收集器，用于存储和以后的分析。该流信息可以用于以多种方式理解网络行为。 源地址允许了解谁发起流量 目的地地址告诉谁在接收流量 端口表征利用流量的应用程序 服务类别检查流量的优先级 设备接口告诉网络设备如何利用流量 计数的数据包和字节显示流量 添加到流的其他信息包括： 流动时间戳，以了解流动的生命；时间戳对于计算每秒的数据包和字节很有用； 下一跳IP地址，包括BGP路由自治系统（AS）； 用于计算前缀的源地址和目标地址的子网掩码； 用于检查TCP握手的TCP标志； 其他相关术语 网络取证 流导出器收集流缓存中的流数据，并定期将其导出到收集器。这个设备通常是一个路由器（一个低级设备）或防火墙，基本上将信息传递到收集器上。 网络故障排除 流导出器收集流缓存中的流数据，并定期将其导出到收集器。这个设备通常是一个路由器（一个低级设备）或防火墙，基本上将信息传递到收集器上。

数据包分析是一个复杂的话题。如果在没有设置参数的情况下启动Wireshark，就会开始实时捕获或打开一个预先录制的pcap文件。在很短的时间内，可能有成千上万的数据包等待分析。有一种危险，就是被大量的数据困住了。 然而，如果用户想深入分析数据包，没有一个其他产品可以替代Wireshark。但是，有一些方法可以使这项任务变得更加容易。 本文解释了应对挑战和减少数据包分析工作的策略--无论是为了排除故障还是为了评估网络质量。 第一部分也就是本篇讨论的是解释如何使用Wireshark工具进行结构化搜索的技术。这里涵盖了过滤器、颜色标记和协议层次的技术。 第二部分将会在下一期为大家进行介绍，我们该如何使用 Allegro 网络万用表来加快 pcap 分析器的工作。 旗舰级的Wireshark 开源程序Wireshark是一个非常好用的pcap分析器。该项目从前身 "Ethereal "中脱颖而出，自2006年以来一直存在，自其发布以来已将所有商业对比产品挤出市场。Wireshark是一个面向数据包的分析器，用于准确定位问题，并以图形显示数据日志。 大多数繁忙的网络会有许多水平的网络连接，需要准确的数据包分析。例如，只访问一个网站就会产生与许多其他主机的连接。 过滤器的使用 由于需要处理的数据量巨大，Pcap 文件的分析可能是一个挑战。可以使用过滤器来有选择地隐藏不感兴趣的连接。我们的目标是最终获得一组相对容易管理的数据包，作为详细分析的起点。 除了应用BPF语法等外部工具和技术来过滤流量外，Wireshark还有一些板载手段来减少大量的信息，以便更接近相关信息。Wireshark区分了两种类型的过滤器。捕获过滤器定义哪些数据包被记录下来；显示过滤器定义了哪些捕获的数据包被包括在当前的分析中。但是，这两种过滤器使用不同的语法。 在Wireshark中的简单显示过滤器 在Wireshark中最常用的使内容更精简得技术是使用显示过滤器。 显示过滤器）来选择，例如，HTTP协议，这将限制视图到所有的HTTP条目，或者直接在过滤器工具栏上插入所需的过滤器值。如果你想只看到所有的SIP连接，你只需在输入框中输入'sip'，然后用'Enter'确认即可。 在Wireshark中通过显示过滤器进行特定的协议过滤 过滤器正在使用中，可以在过滤器工具栏的输入栏中看到（用绿色突出显示）。右下方的状态栏也显示过滤器已被设置，或者当时确实只显示了一定比例的数据包。 在直接输入显示过滤器时，Wireshark提供了一个自动完成功能，因此在输入过滤器时，所有具有相同字母序列的可用过滤器都会被建议。 比较运算符 除了使用简单的过滤器，条件也可以被链接。Wireshark的过滤器语法提供了括号、逻辑运算符，如'and' 'or'，以及比较运算符，如= =或! =。 例如，如果你想显示 "从IP地址10.17.2.5到80端口的任何TCP流量"，翻译成Wireshark的过滤语法是ip.src = = 10.17.2.5 and tcp.dstport = = 80。 在这个例子中，条件是用 'and' 连接的。条件1规定，数据包的源IP地址必须是10.17.2.5，条件2规定，协议必须是TCP，目的端口必须是80。 任何数量的条件都可以连接起来，以进一步限制显示的流量的选择。 来自Wireshark的表达式生成器 作为一个熟练的Wireshark用户，表达式可以从内存中自由应用。最初，使用Wireshark的表达式生成器对话框将表达式添加到显示过滤器中是非常容易的。 当右击过滤器工具栏中的术语 "表达式 "时，这个对话框会打开。在这里，可以选择和链接预定义的运算符。为了检查所选的过滤器是否正确，过滤器工具栏变成绿色。如果过滤器是无效的，则该区域会以红色显示。 在Wireshark中调用表达式生成器 如果需要的话，可以保存Wireshark的过滤器。 捕获过滤器 除了上述减少显示数据包的显示过滤器外，还可以在流量记录开始的那一刻应用过滤器；这些被称为捕获过滤器，确保网络数据被限制在所需的选择范围内。 Wireshark捕获过滤器使用与tcpdump、libpcap过滤器相同的语法。就是说，用字节偏移、十六进制值和与真值相关的掩码的语法来过滤数据。捕获过滤器的应用并不简单，因为它们比显示过滤器更隐蔽。 Wireshark手册中包含了更多关于集成在Wireshark中的过滤器的信息。 在这篇文章中，只讨论了Wireshark作为机载工具所提供的最重要的过滤器。应用比最简单的显示过滤器更深奥的过滤器，需要对Wireshark的过滤器语法有深入的了解，以便持续使用过滤器来解决自己的研究问题。 使用Wireshark进行颜色标记 除了过滤功能外，Wireshark还有一个可定制的颜色编码系统。例如，默认情况下，所有UDP数据包都标为蓝色，标准TCP传输为紫色，HTTP为绿色。这些颜色编码有助于管理员一目了然地识别数据包的类型。用户定义的颜色规则可以分配给自己的配置文件并保存，完成系统。文本和背景颜色都可以自定义。 单个数据流可以通过自动颜色编码轻松追踪。然而，为了一目了然地看到哪些连接是活动的，或者单个数据包属于哪些连接，而不是通过IP地址/端口号来确定，你可以通过颜色代码来调节。要启用这一点，在右键单击数据包后，你可以在上下文菜单中点击 "彩色连接"，并选择连接类型（以太网、IPv4、IPv6、TCP、UDP等）。 根据传输协议为连接着色，同一IP对之间的单个通信流可以被区分出来。这比只看IP地址能够进行更细化的分析。在多个主机同时进行通信的情况下，或者在同一主机之间有多个通信连接需要区分的情况下，对单个连接进行颜色编码特别有用。如果你想仔细观察任何潜在的可疑流量，颜色编码也是一种可行的记录方式。颜色编码为大型 pcap 数据文件的初始定位提供了一种易于使用的技术。 使用协议层次 这里要介绍的第三种技术是使用协议分层，以便在大型 pcap 文件中更好地定位。与颜色编码相比，这需要高级的 Wireshark 知识。协议层次的使用提供了有用的线索，例如，在追踪可疑的应用程序或协议时。 日志层次结构"。层次结构提供了一个树状的日志视图，包括每个日志的统计值。它被称为层次结构，因为数据是根据通信层排列的，因为大多数数据包包含多个封装的协议。因此，一个HTTP数据包被列在一个TCP数据包下，两者都在IP数据包下，等等。 按协议层次的Wireshark视图 除了协议信息外，管理员还可以查看该协议在总流量中的份额有多高，数据包的确切数量或某一协议的带宽。如果在数据条目中发现意外的高值，应该更仔细地检查这个流量。为此，用鼠标右键标记该条目，以便进一步分析。一个上下文菜单打开，可以直接过滤或着色数据包。由于列表的分层结构，不可能对日志进行排序或重新排序。 然而，可以采用演绎策略，直接从日志层次视图中过滤掉不感兴趣的日志。可以从过滤后的结果中保存一个单独的捕获文件。 总的来说，协议分层技术是一种可扩展的方式，可以获得一个 pcap 文件的整体视图。协议层次结构通常是进一步分析的起点，因为在这里可以看到意外流量或错误的迹象，比如意外的协议或单个协议的意外数据比例。引起注意的往往不是某个协议的存在，而是其相对比例。 下一期我们将告诉大家，如何使用Allegro网络万用表作为预过滤器来过滤和构建大型捕获文件。