智能流量分析是一种网络流量监测和分析技术。
2023-3-26 00:2:45 Author: 橘猫学安全(查看原文) 阅读量:17 收藏

前言

智能流量分析是一种网络流量监测和分析技术。智能流量分析通过对指定的业务流进行深度分析,可以得到指定业务流的丢包率,时延(纳秒级)等高精度性能指标数据,并支持将分析结果输出至分析器iMaster NCE-FabricInsight进行展示或进一步分析,便于运维人员监控网络运行情况或快速定位网络故障,为实现全网流量可视化提供支撑。

01为什么需要智能流量分析?
随着行业数字化转型的加速进行,越来越多重要的业务和应用被部署到用户网络,导致网络规模越来越大,应用类型及数据流向愈加复杂。在业务流转发过程中容易出现的一些问题,比如TCP建链失败、业务流时延异常等,都给网络的运维带来了巨大的挑战并提出了全新的要求。如何快速感知和准确定位故障,快速的恢复业务,有效提升运维效率,变得尤为重要。并且,为了在复杂的网络环境中更加直观的进行业务精细化管理,网络流量的可视化已成为趋势。
智能流量分析技术可以有效的解决上述问题:
  • 借助于设备内置芯片,不影响转发性能,减轻远端分析器的处理负担。
  • 根据业务流的不同特征进行智能化分析,可精确实现基于每条业务流的深度分析。不仅可以实现对丢包率、时延的统计,还支持计算纳秒级的报文往返时延RTT(Round Trip Time)。
  • 实时的监测网络运行状态,快速精准的定位故障节点,提升网络运行稳定性并降低网络维护成本。
  • 支持将分析结果输出至分析器iMaster NCE-FabricInsight,为实现全网流量可视化管理提供有力支撑。

02

 智能流量分析系统有哪些组成?

一个典型的智能流量分析系统由流分析数据输出器TDE(Traffic-analysis Data Exporter)、流分析数据处理器TAP(Traffic-analysis Processor)和流分析数据分析器TDA(Traffic-analysis Data Analyzer)三部分组成。
  • TDE:配置了智能流量分析功能的设备,负责匹配待检测的业务流,并上送到TAP。
  • TAP:由设备CPU内置芯片承担,对TDE上送的业务流进行处理和分析,并将分析结果输出至TDA。
  • TDA:网络流量分析工具iMaster NCE-FabricInsight,具有图形化用户界面,使用户可以方便地获取、显示和分析收集到的数据。
在实际的应用中,TDE和TAP是集成在一台设备上。如下图所示,DeviceA为配置了智能流量分析功能的设备。
智能流量分析系统组成图

03

 智能流量分析系统是如何工作的?

智能流量分析系统的具体工作过程包括流匹配、流分析和流输出三个部分。如下图所示。
智能流量分析系统工作过程示意图
3.1  流匹配
在TDE上配置指定待检测的业务流,并通过下发的ACL规则匹配该指定的业务流,匹配通过的业务流将被镜像并由转发芯片上送到TAP。若TDE上送的报文TAP无法处理,比如为不支持的报文类型或者如果报文数目过多超过了TAP的处理能力,那么TAP会将该报文丢弃。
3.2  流分析
TAP得到匹配成功的报文后,会对报文进行分析处理。
  • 按照五元组(业务流的源IP地址,源端口,目的IP地址,目的端口和传输层协议)依据报文中的关键值形成一条条的流,从而组成一个流表。
  • 对流表中的一些关键字段进行统计,根据统计结果可以分析出该流的各项特征,包括:丢包数量、时延、报文数量、流创建时间等。
3.3  流输出
智能流量分析功能支持用户在设备侧查看TAP分析出的业务流特征信息,然而要获得可视化的、用户界面友好的分析结果,还是需要将流表发送给TDA处理。目前TDA仅支持分析器iMaster NCE-FabricInsight。iMaster NCE-FabricInsight分为FabricInsight采集器和FabricInsight分析器两部分。
如下图所示,包含流分析结果的智能流量分析流表首先会被存储在设备的缓存区中,当缓存区中的智能流量分析流表达到老化条件时,设备中的TAP将这些流表的统计字段添加到NetStream V9扩展模板中进行封装。经过封装后的输出报文由转发芯片进行路由查找转发,最终到达FabricInsight采集器。FabricInsight采集器收到智能流量分析系统输出报文后,会依据报文源地址等报文信息对业务流特征信息进行汇总,并上送给FabricInsight分析器,完成流特征信息的最终处理和展示。
智能流量分析流表输出

04

   智能流量分析的应用

智能流量分析可以应用在在复杂的网络环境中,便于运维人员进行直观的网络管理。如下图所示,企业的数据中心部署了不同的业务,某应用部署在VM1和VM3上。承载该应用的某条业务流在VM1与VM3之间往返方向的路径相同,此路径上的每台交换机都可以捕获该业务流的双向流量。现运维人员想要对该应用流量重点监控,可以从上述路径经过的交换机中任意选取一个或多个交换机部署智能流量分析功能,对业务流进行监控和分析。一旦发现丢包、时延过大等异常,可以进行快速准确的故障定位。并且,可以将分析结果发送给iMaster NCE-FabricInsight网络流量分析工具进行进一步分析和展示。
智能流量分析的应用组网
如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell
「 超详细 | 分享 」手把手教你如何进行内网渗透
神兵利器 | siusiu-渗透工具管理套件
一款功能全面的XSS扫描器
实战 | 一次利用哥斯拉马绕过宝塔waf
BurpCrypto: 万能网站密码爆破测试工具
快速筛选真实IP并整理为C段 -- 棱眼
自动探测端口顺便爆破工具t14m4t
渗透工具|无状态子域名爆破工具(1秒扫160万个子域)
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247506264&idx=2&sn=fb6f7c7b36005949d2dba1a70ff0cb98&chksm=c04d5e66f73ad770676e18399ec5167161adafeb7b7a29bbe06672cfa97ca6f4a205f4bb6d4a#rd
如有侵权请联系:admin#unsafe.sh