标签: 网络流量监控

云计算 有无数的好处。它使组织能够通过远程访问以极低的价格获得最高质量的服务器和设备，而不是承担最新技术的全部成本。 云计算使 组织能够使用数据存储的实用模型，为他们使用的内容付费，而不必猜测和超支存储容量。它还包括跨分布式地理购买冗余的选项，这可以提高不同位置的最终用户的速度 。 一、网络延迟 网络延迟的一个常见原因是云服务器和用户请求设备之间的地理距离请求必须经过。虽然此问题同样发生在云和本地网络中，但有一些简单的解决方案可以减少延迟。 1、 边缘计算 一种解决方案是边缘计算，它使用基于用户地理位置的服务器。 2、 多云架构 当 一家云供应 商无法提供与其员工足迹相匹配的数据中心位置时，组织还可以引入多云解决方案。在与用户位置一致的数据中心之间分配工作负载可以创建更快的连接，减少延迟，并在连接超时或链路饱和时增加切换路径的冗余。 3、 升级网络路径或设备 尽管云以按使用量付费的结构提供无限且可扩展的容量，但在迁移期间或创建备份时将初始数据传输到云中的路径仍然受网络路径容量的影响。 如果传输介质是铜缆，则与数据传输介质是光缆相比，您的容量将受到更多限制。路由器也可能是无法在不丢失数据包的情况下处理大量数据的最薄弱环节。 4、 使用“Sneakernet”进行大型数据转储 避免过度配置电路的一种选择是将数据备份通过磁带或光盘发送到 云数据 中心，以便 云提供 商直接上传。通过光盘或其他设备手动复制和传输文件的方式称为“sneakernet”。 5、 看看是否有效 您可以在命令界面中 使用 ping 或 netperf 命令 检查延迟。大多数网络监控工具都包含延迟计算。 二、停机时间 没有冗余的 云提供 商或将数据存储在 私有云设置 中会使您更容易受到服务中断的影响。 1、 单点云故障 就 私有云 而言，服务器位于一个位置，这使得网络更容易受到恶意软件、电涌、与天气相关的灾难或硬件故障的影响。这种冗余的缺乏造成了多个容易发生故障的弱点。 不要把所有鸡蛋放在同一个篮子里。数据中心可能因备用电源不足、冷却故障、水损坏或网络攻击而发生故障。 2、 错误的 云计划 “规模” 云架构中停机的另一个原因是资源不足以处理峰值用户负载。没有预见到容量饱和的组织可能签署了错误大小的云存储计划并达到了阈值。 预测云消耗比许多组织预期的更加困难。要成功实现基于消费的应用程序，需要了解应用程序迁移到云后的使用模式 三、数据丢失 1、 覆盖数据 数据可能会 被软件 更新、批量上传、用户协作项目或第三方应用程序覆盖。 2、 攻击 从上次成功备份到攻击者渗透之间的数据存在丢失、删除或损坏的风险。 这些数据也可能在勒索软件攻击中被窃取并勒索赎金。即使备份策略到位，组织也可能选择支付赎金，而不是将敏感数据泄露出去。 虽然备份允许恢复应用程序的原始状态，但组织仍然可能会因备份之间发生的几个小时的工作损失而遭受损失。我们建议在不同的地理位置至少进行两次备份，以防第一个失败。 3、 用户错误 用户可能会意外删除或更改他们有权访问以进行协作的文件。变化会产生未知的影响。例如，更改虚拟机大小会破坏本地数据。用户还可能搞砸灾难恢复计划并无意中导致数据丢失。 四、应用程序的互操作性 1、 伪装的云应用程序 云性能不佳的主要原因之一是应用程序不兼容。数据并不总是可以 跨网络 架构移植，并且许多声称具有云选项的应用程序并不是为云平台设计的。这些应用程序可能需要重写代码才能在云生态系统中更好地执行。 您的云应用程序可能是伪装的固件应用程序吗？ 2、 有限的 云集成应用程序 另一个考虑因素是应用程序与一个 云供应 商集成，但没有为其他云平台构建集成。这使得数据传输难以完成。 3、 意外的资源消耗 另一种可能性是没有充分规划资源来支持应用程序。了解 每个云 托管应用程序的带宽要求非常重要，以便在启动之前进行适当的容量规划。 五、故障排除/管理问题 1、 能见度 将数据从本地环境移动到云端可能意味着牺牲网络和应用程序流量的可见性。由于服务器是虚拟的，因此监视和预测数据存储和处理位置的性能和安全性变得具有挑战性。 2、 意外情况 云环境 可能会快速变化，组织必须在几乎没有通知的情况下适应这些更新，或者尝试执行回滚，这会占用大量资源，并且需要另一个离线期，从而影响性能。 3、 工具蔓延 发生这种情况的某些情况可能是在具有多个故障排除工具的多云环境中，这使得故障排除速度更慢且更容易出错。 4、 复杂网络 当分阶段云迁移到位、一些应用程序位于云中、以及一些应用程序在本地运行时，也可能会出现故障排除问题。这种多样化的架构可能会使监控问题难以查明。 5、 云监控以优化性能 转向多云和混合 云基础 设施的好处是不可否认的 · 降低供应商锁定的风险 · 通过调度基于地理位置的工作负载来控制成本 · 享受不同 云提供 商的最佳功能 然而，多重、混合和公共云解决方案通常缺乏NetOps和CloudOps成功管理基础设施所需的可见性水平。这就是LiveAction出现的原因。 联系我们 扫码加入虹科网络安全交流群或微信公众号，及时获取更多技术干货/应用案例。

要了解网络性能问题的原因，可见性是关键。而这四种数据类型（ 流、数据包、SNMP和API ）都在增强网络可见性方面发挥着重要作用。 流 流是通过网络发送的数据的摘要。流类型不同，可以包括NetFlow, sFlow, jFlow和IPFIX。不同的流类型在供应商灵活性方面存在限制，但所有流都具有提供网络中连接摘要的功能。客户端请求被发送到服务器，然后服务器以流记录进行响应。 您可以从流分析中学到什么？ 流分析揭示了通过网络设备的流量和流量类型。流记录包含有关源和目标IP和端口、使用的协议、发送和接收的字节以及其他信息的信息。流分析将流量记录关联起来，以识别拥堵源。使用流分析，您可以判断哪些应用程序和用户消耗了最多的带宽资源，查看特定IP地址或端口的不规则流量模式，并创建标准的网络性能指标。 虽然您可以使用流来判断问题发生的位置，但是如果您想要知道这些问题的确切原因就需要使用数据表。 数据包对于找到网络事件的根本原因至关重要。 数据包 数据包是跨越网络传输的大约1000到15000字节的小数据单元。通过任何操作，如发送文件、电子邮件或下载图像，将数据分成许多更小的数据包，可以更有效地传输数据。 每个数据包都包含顺序信息，以确保其在目的地进行正确的重组，当然也包含目的IP信息，以保证其到达正确的位置。 数据包捕获通过使用两种技术之一（网络分接和端口镜像）获取通过网络的镜像数据。 您可以从数据包捕获中学到什么？ 数据包捕获或PCAP可以帮助您深入细致的故障排除细节，并确定问题的根本原因。数据包也有助于在网络中显示威胁可见性。数据包通常是威胁检测工具的关键组成部分。 深度数据包动态（DPD）使用与AI相结合的数据包数据 ，将数据包元数据与数据包有效载荷内加密的可疑活动指标的威胁特征和特征进行比较。 SNMP SNMP是一种允许网络设备共享信息的协议。SNMP向网络中启用SNMP的设备发送称为PDU或协议数据单元的获取请求。从这些请求中接收到的数据可以查看网络连接接口、CPU以及路由器、交换机、服务器和防火墙等设备的状态。 您可以从SNMP中学到什么？ SNMP数据包括在设备上发送和接收的错误，如路由器、数据包数量、字节数、两个设备之间的连接速度，或web服务器在给定时间段内接收的请求数。 SNMP对于了解设备饱和和运行状况至关重要。 API API是一个软件层，它充当不同应用程序之间的桥梁，以集中数据并允许知识共享。例如，Jira和Salesforce之间的API允许Salesforce中的用户查看与特定客户帐户相关的未结票据或问题。这允许不同的受众获得新的数据。 你能从API数据中学到什么？ API提供对新数据的访问，并通过将来自不同应用程序和系统的数据汇集在一起以实现更准确的报告来增强网络可见性。 更多数据意味着更好的网络可见性 网络可见性对于企业来说至关重要。它允许工程师持续解决任何明显的拥塞或设备故障。 但全面的网络可见性对未来也是至关重要的。通过更好的网络趋势、标准和高峰时期数据，团队可以预测和规划新计划所需的大小。

上一期我们讨论的是如何使用Wireshark工具进行结构化搜索的技术，这一期我们将为大家进行介绍，我们该如何使用 Allegro 网络万用表来加快 pcap 分析器的工作。 前期回顾： 构建大型捕获文件（Ⅰ）——Wireshark过滤器和其他Allegro网络万用表工具 用Allegro网络万用表对流量进行预选 既然已经介绍了一些关于如何创建大型 pcap 文件以更好地掌握它们的重要技术，这第二部分将介绍 Allegro 网络万用表如何处理这一任务。 Allegro 网络万用表并不能完全取代 Wireshark。然而，它被设计为预先过滤 pcap 文件，以便用 Wireshark 进行更深入的数据包分析。 Allegro网络万用表测量流量并实时显示所有元数据；这适用于实时数据和历史网络流量。该工具的特殊之处在于其处理数据的速度。这对需要进行pcap分析的用户有利。 基本上，Allegro 网络万用表提供两种不同的功能。一方面，它可以在创建 pcap 时对流量进行单独和清晰的过滤；另一方面，现有的 pcap 文件可以上传到设备上，以便预先选择用 Wireshark 进行分析。 从 Allegro 网络万用表的数据中选择性地捕获 pcap 首先，这里讨论的是作为预过滤器的功能。通过 Allegro 网络万用表，由于广泛的过滤功能和数据关联，人们可以轻松快速地导航到流量的位置。在那里，可以直接从怀疑有错误的选定网络流量中保存一个 pcap。然后，这个大大缩小的 pcap 文件可用于 Wireshark 的快速分析。 从 Allegro 网络万用表仪表板导航到可疑故障 这种捕获功能被集成到Allegro网络万用表的所有分析模块中。从仪表板开始，你可以得到当前网络流量最重要的参数的第一份概览，你可以通过时间线和图表浏览不同的层次，更接近问题。在用户界面的大多数部分，都有一个pcap下载按钮，通过这个按钮，你可以很容易地捕获显示的、选定的网络流量作为浏览器下载，无论你想从MAC统计中下载一个pcap，还是从HTTP协议中下载一个pcap，例如： 如果你想解决一个问题，例如，为什么上周三的VoIP电话如此不稳定，只要导航到SIP模块，设置所需的时间范围，并按抖动对这个时间范围内的电话进行排序，或直接按电话号码过滤。有问题的电话现在可以通过pcap下载，以便用Wireshark进行进一步的数据包分析。 不仅可以随意预选流量，而且由于Allegro网络万用表的存在，故障排除的时间可以大大缩短，创建一个pcap的时间也缩短到了一小部分。 此外，除了基本的管理员知识外，操作该设备不需要进一步的专业知识。大多数过滤器都是预定义的，只需要进行选择。此外，操作者可以在命令行中相互组合。 将现有的 pcap 文件上传到 Allegro 工具进行过滤 Allegro网络万用表为加快使用Wireshark提供的第二个功能是上传pcaps。 如果在捕获前没有可能预先选择网络流量，例如从第三方收到要分析的pcap，那么文件可以通过USB或在浏览器中拖放的方式追溯上传到Allegro网络万用表，并可以使用该设备查看数据。 Allegro网络万用表具有非常高的导入速度，所以文件可以很快被打开。这里的特别之处在于，你可以访问已经导入的数据。这使分析的速度提高了许多倍。最重要的是，通常需要桥接的等待时间被消除了。因此，你可以留在主题上，不会有在等待时间内分心的风险。 在 Allegro Network Multimeter 中，缩小的 pcap 可以如上所述重新导出，并在 Wireshark 中进一步分析。 结论 等到打开一个pcap文件，然后确定重要的Wireshark数据已经成为过去。 第一部分文章解释了Wireshark为减少显示的数据而加入的几个过滤器功能。一些更深入的过滤器可能需要更深入的知识。 第二部分涉及Allegro Packets公司开发的Allegro网络万用表，它提供了广泛的过滤功能，只需点击几下就可以控制它们。 过滤器可以很容易地应用，无需额外的语法知识，使其易于使用。此外，Allegro 网络万用表加速了故障排除，因为可以快速确定错误。从问题区域记录的 pcap 可以减少进一步的数据包分析时间，因为 Allegro 网络万用表可以非常快速地处理和读取 pcap 文件。在读取过程中可以对数据进行分析。通常情况下，不需要使用 Wireshark 进行详细的数据包分析，因为问题可能已经被 Allegro网络万用表检测到，并确定了解决方案。

​ TCP协议的可靠性 数据包丢失是对网络的破坏，因为它导致延迟。TCP协议建立了可靠的数据传输，但掩盖了丢包的影响。TCP确保数据的传输是基于一个叫做 "滑动窗口 "的概念。这种机制控制着传输的字节序列和收到的确认。 在排序的帮助下，接收方可以通知发送方丢失的数据（如数据包丢失）。独立地讲，发送方可以通过重传定时器的到期来检测丢包。从性能分析的角度来看，必须了解丢包的重要性，以避免 "机器中的幽灵"。下面的文章探讨了这些机制的行为和性能。 ​ 编辑 重传计时器 每个传输的数据包都由发送方链接到重传计时器。如果计时器在已传输的数据段被确认之前过期，则该数据段将被声明为丢失并重新传输。在性能方面，重传定时器有两个重要特点： 初始重新传输超时 （RTO） 的默认值几乎始终为 3000 毫秒。随后，该值会根据实际路径重传时间动态调整为更真实的值。 对于数据包的后续重新传输，超时值始终加倍。 ​ 编辑 对于短数据流（例如网络流量），重传计时器用于检测数据包丢失。只有 1000 字节的消息在单个数据包中传输。当然，如果数据包丢失，接收方无法发送接收确认，因为接收方不知道丢失的数据包曾经发送过。如果数据包在 TCP 连接的早期丢失，例如在三次握手期间丢失 SYN 数据包，则数据包丢失在三秒钟内不会恢复。 三次重复的ACK 在较大的数据流中，可以在重传定时器过期前检测到丢失的数据包。这是借助于三个收到的ACK副本来完成的。这种机制通常比等待重传定时器过期更有效。如果到达的节点收到的数据包不符合顺序，它就会发出重复的ACKs。失序的数据包可以是在丢失的数据包数据之后发送的数据包。重复的ACK包包含接收方仍在等待的准确序列号。当发送节点收到第三个重复的ACK时，它认为有关的数据包不仅被延迟，而且实际上已经丢失。结果，丢失的数据包被重新传输。如果发生这种情况，发件人会假定网络中存在拥堵，并将拥堵窗口减少50%，以积极应对拥堵。慢速启动机制会缓慢增加CWD值。 例如，如果一个服务器向客户传输一个大文件，由于慢速启动机制，发送节点的吞吐量提升得更慢。当拥塞窗口达到24时，数据包丢失会被一个三重复的ACK检测到。随后，服务器重传丢失的数据，CWD值减少到12。慢速启动机制将在这个时候重新启用其拥塞避免模式。这种行为在现代网络中经常看到。 ​ 编辑 结论和纠正措施 显而易见的是，防止因拥堵造成的数据包丢失将提高性能。然而，这只有通过减少其他流量的拥堵才能实现，可以通过以下方式实现： 用于排队优先的QoS政策 减少总流量或增加带宽 如果数据包丢失是由于其他情况造成的，如网络接口故障、队列配置错误或电缆连接不良，则必须确保TCP连接不会被不必要地关闭，不被不必要地超时，人们还可以减少重传超时的值。 扩展阅读 虹科 Allegro 介绍 虹科 Allegro网络万用表 - 网络故障排除的一体化解决方案 ​ 编辑 ​ 编辑 虹科Allegro网络万用表是是先进的网络诊断工具，通过浏览器中的Web界面访问分析数据。简单部署，无需配置，只需要点击几下就可检测到网络问题。可以针对问题区域或错误，并可以从预算的流量中捕获PCAP以进一步分析。 一体化分析设备 软件永久许可（全功能可用） L2-L7全面分析 即插即用，无需配置 多种型号可选，1-200Gbit/s，满足不同规模网络需求 高速全流量捕获分析，回溯分析 中文界面支持 ​

数据过载 炎热的服务器机房，冷却系统嗡嗡作响，大量的彩色电缆和闪光灯交替闪烁：这就是典型的数据中心的样子。即使管理员下班，网络也必须以稳定的方式运行。具有高数据速率的服务器以高带宽连续运行，同时提供许多不同的服务，但总是会达到 负载峰值或出现数据包丢失 的情况。由于这种复杂性，管理员必须密切关注所有网络进程，为不同的错误类别做好准备，并能够迅速作出反应。 此外，网络速度慢、VoIP系统质量差或服务器问题 也都是常被用户抱怨的问题。 网络万用表的应用场景 1.网络万用表在不同的应用场景下如何解决问题？ 特定指示器可根据应用程序提供有关问题源的重要信息。 1）存储系统 ：存储系统要检查的一个变量是数据传输速度。 研究TCP零窗口（TCP-Zero-Window ）参数将有助于检测接收器过载。 应特别注意： ①服务器硬件、客户端或其他连接的网络是否能够支持指定的速度。 ②随着数据吞吐量的延长，可以找出哪些应用程序/IP 地址生成或接收特别高的流量。 网络万用表可以精确检测这些应用程序/IP。这些信息可以揭示特别大的数据传输的实时冲突（例如办公时间的备份），还可以找出哪个组件是瓶颈。 2）Web服务器 ：Web服务器可能无法以足够快的速度响应内部或外部的使用请求。 为了确保追溯到web服务器的问题，网络万用表数据包工具分析对服务器的请求。 指标： ①每秒向服务器请求的数量 ②请求峰值的时间及其原因 ③传输数据的数量和大小。 通过被动地测量响应时间，可以确定响应时间是否随时间而变化，以及哪些服务必须等待很长时间才能得到响应。尤其是在未响应的情况下，应检查哪些请求会受到影响以及为什么会受到影响。由于请求的延迟增加，即使是很少的TCP重传也会导致零星的问题。 3）网络电话 ：VoIP数据包应始终优先于其他数据，以确保语音质量。 如果出现问题，网络万用表会根据以下关键数字来确定原因： 同时拨打的电话数、使用的带宽和编解码器、抖动、数据包丢失、MOS分数和失败呼叫数，同时还应始终考虑是否在两个方向上都正确配置了 QoS。 4）工业服务器 ：生产停机可能会造成较大的收入损失，因此应经常检查服务器是否可靠地工作，是否发生故障，以及服务器是否因其他不必要的任务而过载。工业领域的网络流量大多比较均衡。 虹科 Allegro网络万用表系统可随时关注异常值、故障、带宽和延迟等情况。当然，还可以监视行业协议特定的响应时间。 2.虹科 Allegro网络万用表的功能优势 由于所有网络层上的错误来源都可能不一致，因此要搞清此类问题，必须考虑不同的网络类或层。 1）通用测量工具，如虹科 Allegro网络万用表， 可逐层分析并清晰地显示结果。 用这种方法，既可以分析自制问题，也可以分析零星误差。 2） 数据包突发的问题 也能变得清晰可见。 3）虹科 Allegro网络万用表分析仪可 在数秒内检测出 错误来源/提示 如何评估数据中心的状况？ 为了评估数据中心的状态，可以使用网络万用表分析工具对特定服务器进行现场监控。这只能简要了解网络当前状态。如果一个特定的错误没有在一个定义的时间窗口中发生，它可能不会被记录下来。因此，建议将网络万用表集成到网络管理员可以远程访问的网络中。 1.具体操作方法 可通过管理型交换机提供简单的访问，管理型交换机允许配置一个镜像端口，这可以将全部或部分流量路由到测量系统中。此方法可用于持续监测或在特定时间段内使用。必须在后视镜端口上安装网络万用表。监控工具可以接收、读取或对这些数据做图像化处理。许多交换机支持ERSPAN/GRE将网络流量转发到另一个IP地址。 2.优点 1）远程监控，节省时间 要监视的服务器可以处于与测量系统不同的位置，并且不需要更改连接。但该处的网络必须能够处理额外的流量。您不需要在远程站点，可以灵活地使用终端设备（台式机、智能手机），并且多个管理员可以使用同一个设备来调查不同的参数。 2）可满足虚拟机运行的流量 多个物理服务器运行着大量的虚拟机，在这样的环境下如何分析问题？虚拟机需要额外的预防措施。如果流量进入物理网络，则可以使用已知的路由将流量路由到测量系统。但是，可能还需要调查多个虚拟机之间的内部通信量，那里出现问题可能导致外部干扰。在这里，可以在虚拟机中使用ERSPAN来分流流量。也可以在同一个VM主机上搭建一个虚拟测量环境来接收流量，而不必进入物理网络。这样做的好处在于网络负载更小。 四、如何使用虹科 Allegro网络万用表有效排除故障？ 原始数据使网络管理者能够更深入地回顾、解决问题。 虹科 Allegro网络万用表中的网络故障诊断程序可以通过 提取原始数据,进行更深入的分析来缩小误差范围。 由于无法在目标记录中记录这些错误，能够存储数据的网络万用表对于检测零星错误来说是必不可少的。在这种情况下，数据包提取可以节省大量时间。为了在错误成为问题之前检测到错误，应提供尽可能多的实时测量数据，以获得完整的概况，从而使网络管理员能够处理任何问题。完备的通用概述能使您通过浏览最重要的关键数据来确定网络状态。