基于多核处理器系统的局域网流量监控平台-罗芥答案.ppt

* 基于多核处理器系统的局域网流量监控平台 1110349068 罗芥 主要内容 背景 多核处理器转发性能的提高 局域网流量统计 网页监控平台的建立 局域网流量分析及吞吐量测试 总结 Introduction 随着网络流量与应用的日益增大与复杂，网络流量监控变得越发的困难与重要。传统的方式通过监听端口号对应用进行分类，伴随着许多使用动态端口和伪装在周知端口下的应用的出现，网络流量识别的比例大大降低。而基于应用层净荷特征字段的分析与分类能够监听端口的缺陷，更好地管理网络流量。 基于Linux操作系统的防火墙体系netfilter/iptables及其扩展模块L7-filter，对局域网中流量进行应用层的分类，并提高其在多核操作系统的效率与吞吐量。对每个主机的流量分类信息进行处理，在网页上建立监控平台便于网络管理和用户对本机应用的监控，使局域网健康地运行。 背景 理解和分析网络流量特征是网络设计、发展的基础。随着因特网的迅猛发展，网络用户与流量不断增加，网络应用数量成倍增加，人们的生活几乎到了离不开网络的程度。这使得网络成了一个数据、流媒体大融合的平台，同时新的网络应用、协议的不断增加，使得网络中的流量变得越发的复杂，分析与监控也变得格外的困难。但也正是因为网络的地位越来越重要，对网络中流量分类监控也越来越有必要。对流量进行分类有助于分析网络中应用的类型和未知流量所占的比例，因此将成为网络管理与网络安全的基石，也成为越来越多人研究的热点。 背景 流量分类是网络流量监控与处理的基础。传统的分类方法按端口信息进行分类，一个应用对应一个端口。例如，源端口或目的端口为80的TCP流可以被认为是HTTP应用。由于这种方法的简单且效率高，被广泛适用于工业标准中。也是由于在以前网络的应用并不是很多，更重要的是当时的应用没有什么动机入侵其他应用的端口。但是随着因特网的发展、网络应用数量的增加，越来越多的应用使用动态端口、非标准的端口或者伪装在其他应用的端口下。 背景 文献[1]显示现今不足70%的网络流量能够被基于端口分类。基于端口分类有如下缺点：一是会被伪装在其他周知端口下或者使用没有注册的端口号的应用所逃避[2]，如P2P应用为了逃避防火墙的捕捉使用不固定的端口号，而网络中P2P应用所产生的流量已经达到了50%~70%的程度。二是一些端口上的流量是混合了多种应用，并不能被单一地归为某一种应用。如80端口除了HTTP应用外还可能有Email，VoIP等应用。三是由于基于端口的分类只检测应用的端口号，一些应用如SSH等能通过隧道技术把所有应用所产生的流量都归为自身的流量。由于基于端口的分类有如上的缺陷，使得网络的流量识别比例大大的下降。因此采用一种新的方法对网络流量进行分类变得十分必要。 背景 随着网络应用的增多，网络用户的增加，网络中的流量必然迅速膨胀。因此为了观察网络流量的特征，对网络应用进行研究，对网络流量进行更进一步的研究。或者为了监督网络中用户应用的使用状况，控制网络中用户对应用的使用，比如减少P2P应用的使用，提高网络中其他用户的使用体验。或者是为了，用户观察自己使用的应用情况，关闭一些自己并不想打开的应用但是该应用偷偷在后台运行，也有助于用户提高自己对网络的使用体验，提高上网速度。 研究目标和意义 针对基于端口的分类不能很好地解决现今的网络状况，采用对应用层净荷的特殊字段进行匹配的方法能够克服基于端口分类的缺陷，很好的分析网络流量[3]。基于应用层净荷进行分类的方法首先持续跟踪连续的数据包，再对应用层的净荷对应签名（signature）进行匹配，一旦匹配成功被追踪的数据流就打上该样式对应的应用的标签。如果数据包没有匹配到就标记为未知（unknown）。这种基于应用层净荷的分类方法能够更准确地匹配网络中的流量。 研究目标和意义 根据基于应用层净荷的分类方法的具体应用差别并不大，本设计中使用基于Linux防火墙iptables的扩展模块L7-filter进行应用的流量统计。并且在原有版本的基础上，对原来的协议特别是针对中国用户比较常用的应用的准确性进行测试。对不能匹配到或者匹配错误现今网络流量的协议进行修改，并对一些比较常用的网络工具但是原来版本中没有包含的协议进行添加。是L7-filter的匹配更加的准确，并贴合中国用户的使用。然后再把修改后的L7-filter的规则添加在iptables防火墙上，对局域网中每一用户进行应用流量的统计。根据记录的流量对每一用户建立一个页面，可以观察访问用户自己的每个应用的流量状况。 研究目标和意义 本设计的主要意义是使用了基于应用层净荷的流量分类方式，对局域网的流量进行了应用层的分类，并在网页平台上统计出每个应用的流量图，对局域网中的流量情况作了简单分析。不仅是有助于局域网中的用户管