網(wǎng)絡(luò)監(jiān)控原理與技術(shù)實現(xiàn)

網(wǎng)絡(luò)監(jiān)控原理主要采用的主要技術(shù)為網(wǎng)絡(luò)監(jiān)聽和通信分析技術(shù)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)的具體構(gòu)成可以分為以下幾個部分。

1．硬件

盡管有一些產(chǎn)品需要特殊的硬件，但大多數(shù)的產(chǎn)品工作在標(biāo)準(zhǔn)的網(wǎng)絡(luò)適配器上。如果用的是特殊的網(wǎng)絡(luò)適配器，就能分析例如CRC錯誤，電壓錯誤，電纜問題，協(xié)商錯誤等。

2．捕包驅(qū)動

這是最重要的部分，它從線路上捕獲網(wǎng)絡(luò)通信，并根據(jù)你的需要進行過濾，接下來將它存儲在緩沖區(qū)中。

3．緩沖區(qū)

一旦從網(wǎng)絡(luò)上捕獲數(shù)據(jù)幀，它們被存在緩沖區(qū)中。存在幾種的捕獲方式：捕獲通信，直到緩沖區(qū)被添滿，或用循環(huán)的緩沖區(qū)，就是用新的數(shù)據(jù)替代老的數(shù)據(jù)。有一些產(chǎn)品（就像BlackIce的Sentry IDS）能以100兆比特秒的速度在硬盤上維持一個循環(huán)捕包的緩沖區(qū)。這將允許你擁有數(shù)百個成G的緩沖區(qū)而不是基于內(nèi)存的不足1G的緩沖區(qū)。

4．實時分析

這個特性是網(wǎng)絡(luò)監(jiān)控所倡導(dǎo)的，就是在數(shù)據(jù)幀離線進行一定的分析。這能發(fā)現(xiàn)網(wǎng)絡(luò)性能問題和在通信捕獲中的錯誤。一些廠家正沿著這條路線在它們的產(chǎn)品中加入一些新的功能。網(wǎng)絡(luò)入侵檢測系統(tǒng)就是這樣做的，但是它們是對于通信中黑客的行為標(biāo)記進行詳細的審核而不是對錯誤/性能問題進行處理。

5．解碼

就是顯示網(wǎng)絡(luò)通信的內(nèi)容，這樣一名分析者將會十分容易地獲得相關(guān)信息并依據(jù)這些信息分析出網(wǎng)絡(luò)上究竟發(fā)生了什么。

6．包編輯/轉(zhuǎn)發(fā)

有一些產(chǎn)品具有這樣的特性，就是使你能編輯自己的網(wǎng)絡(luò)包，再轉(zhuǎn)發(fā)出去。

可見，數(shù)據(jù)捕獲部分又可以分為硬件實現(xiàn)部分和軟件實現(xiàn)部分，硬件部分就是相應(yīng)的計算機的網(wǎng)絡(luò)接口設(shè)備，軟件部分有許多的開放源碼，例如著名的libpcap以及其在Windows平臺上的應(yīng)用版本W(wǎng)inpcap等。

協(xié)議分析是對于獲取的數(shù)據(jù)按照TCP/IP的標(biāo)準(zhǔn)進行重組和解剖，將滿足應(yīng)用功能的數(shù)據(jù)交給應(yīng)用功能部分。例如，在為了記錄WWW通信中的URL，必須將獲取的數(shù)據(jù)解析到應(yīng)用層。

應(yīng)用功能部分則是根據(jù)監(jiān)控目的的不同，具有不同的實現(xiàn)，在內(nèi)容監(jiān)控中，對于不同應(yīng)用協(xié)議監(jiān)控的實現(xiàn)功能是不同的。

總之，實施網(wǎng)絡(luò)監(jiān)控首先需要收集網(wǎng)絡(luò)中的通信數(shù)據(jù)。收集通信信息的工具很多，例如嗅探器、信息包捕獲器（如tcpdump）等。與同樣基于網(wǎng)絡(luò)監(jiān)聽技術(shù)的入侵檢測系統(tǒng)相同，網(wǎng)絡(luò)監(jiān)控系統(tǒng)在收集網(wǎng)絡(luò)數(shù)據(jù)時本著只收集有用信息的原則，這樣就能減輕其通信分析的負擔(dān)。

【推薦閱讀】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡(luò)管理實戰(zhàn)：如何實現(xiàn)真正的監(jiān)控？

◆巧用泛普BTNM智能分析網(wǎng)管軟件解決網(wǎng)絡(luò)故障

◆奇怪的排障：企業(yè)網(wǎng)絡(luò)管理要突破慣有思維

◆IT運維管理專區(qū)

本文來自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:40 編輯：泛普軟件 · xiaona [打印此頁] [關(guān)閉]

相關(guān)欄目：