網(wǎng)絡流量分析和監(jiān)測程序的實現(xiàn)要點doc

1、電子科技大學通信學院綜合實驗設計指導書網(wǎng)絡流量監(jiān)測與分析班 級學 生學 號教 師實驗名稱】 網(wǎng)絡流量監(jiān)測及分析【實驗目的】1、觀察網(wǎng)絡中出現(xiàn)的各種數(shù)據(jù)包的結構，封裝格式，掌握數(shù)據(jù)包的分析方 法。通過分析數(shù)據(jù)包格式，結合網(wǎng)絡課程所學知識，達到驗證所學，學以致用的 目的。2、了解流量監(jiān)測的基本方法和采樣統(tǒng)計分析過程；掌握流量監(jiān)測中的采樣方法， 包括選擇監(jiān)測采樣技術， 如何設置采樣點， 選 擇采樣時間以及采樣數(shù)據(jù)存儲區(qū)大小的設定等3、分析監(jiān)測到的網(wǎng)絡流量，并做出分析報告。通過從不同的角度對數(shù)據(jù)進行分析， 得到實驗結論和利用網(wǎng)絡知識解釋分析 流量變化原因。例如，可從以下角度：數(shù)據(jù)鏈路層：廣播、單播，分

2、析廣播風暴；報文長度，分析各種長度報文所 占比例，計算報文平均長度等。網(wǎng)絡層：源和目的； 分析內(nèi)外網(wǎng)進出流量， 分析焦點節(jié)點流量比例及變換情 況；分析 ICMP 報文，網(wǎng)絡開銷比例等。傳輸層：分析面向連接協(xié)議與面向無連接協(xié)議的使用情況。應用層：分析各種典型應用的使用情況。主要的分析方法可以用到： 流量隨時間變化曲線， 及對高峰低谷數(shù)據(jù)的分析； 分析各成分在流量中的比例， 及隨時間變化曲線等； 求平均值及比較各成分均值?！緦嶒炓蟆?、實驗者在了解實驗目的后，自行設計監(jiān)測計劃，和按計劃取得數(shù)據(jù)。自 己制定數(shù)據(jù)分析方法和分析角度，得出實驗結論。2、完成至少 4 種類型的數(shù)據(jù)包的分析，列出每個字段的

3、含義。除了給出該 字段的數(shù)值外，還要指出字段值表達了怎樣的信息。3、做出全天數(shù)據(jù)總流量變化圖。4、至少從 3 種不同角度對流量進行分析。5、完成整個監(jiān)測計劃中每天流量變化的比較分析分析的重點不是各項統(tǒng)計數(shù)據(jù)本身，實驗者需要完成對這些數(shù)據(jù)值的大小、 關系、變化趨勢等方面的進行分析和評價， 進一步得出網(wǎng)絡流量特點的結論， 并 嘗試揭露形成相應特點的原因。【實驗原理】1 、設置監(jiān)測點在網(wǎng)絡中不同的位置設置監(jiān)測點， 監(jiān)測結果和結論將有很大差別。 如在網(wǎng)絡 內(nèi)設置監(jiān)測點可以觀察網(wǎng)內(nèi)通信的情況， 在網(wǎng)間設置檢測點則主要觀察數(shù)據(jù)進出 網(wǎng)絡的情況。由于監(jiān)測目標的子網(wǎng)內(nèi)采用了交換機， 網(wǎng)內(nèi)監(jiān)測將很難觀察通信情況

4、， 本設 計將主要觀察網(wǎng)間通信， 將監(jiān)測點設置在通信學院二級子網(wǎng)與校園主干網(wǎng)相接的線路上2、網(wǎng)絡監(jiān)測方法：（1）利用HUB進行監(jiān)測：集線器（HUB ）本質(zhì)上是一個多端口中繼器，即從任何一個工作站傳輸?shù)臄?shù)據(jù)都被HUB接收，并在其他所有端口上轉發(fā)。我們可以利用集線器的這種總線特性，在監(jiān)測點放置一個集線器，集線器上的兩個端口分別接被監(jiān)測線路的兩端，利用第三個接口，接入監(jiān)測機，觀察經(jīng)過被監(jiān)測線路上的數(shù)據(jù)。監(jiān)測機 W利用集線器監(jiān)測的主要缺點是：被監(jiān)測線路傳輸速率為100Mbps，而集線器多工作在10Mbps，將使被監(jiān)測線路降速；此外，如果監(jiān)測機也在主動發(fā)送 發(fā)送數(shù)據(jù)，將對被監(jiān)測線路造成干擾。（2）防火墻

5、方式可在監(jiān)測機上設置兩張網(wǎng)卡，分別接被監(jiān)測線路兩端，在被監(jiān)測線路上的數(shù)據(jù)就要經(jīng)過監(jiān)測機。該方式與防火墻的工作原理一樣RouterBay 350監(jiān)測機本方法的優(yōu)點是可以工作在100Mbps，并保證所有的數(shù)據(jù)都能被監(jiān)測到。 但被監(jiān)測線路受監(jiān)測機性能影響很大， 監(jiān)測機即要緩存所有的數(shù)據(jù)，又要不斷轉 發(fā)，如果監(jiān)測機性能較低，將直接造成線路降速。(3) Monitor 方式部分品牌的交換機具有 Mo nitor功能，可以將某個端口的數(shù)據(jù)同時拷貝一份到映象端口。我們在本設計利用Bay350交換機的這項功能，將交換機上與通信學院連接的端口上進出的數(shù)據(jù)復制到監(jiān)測端口，達到監(jiān)測目的。Bay 350 斗八，Rou

6、terMo nitor監(jiān)測機本方法的優(yōu)點是：不會改變網(wǎng)絡拓撲，不對被監(jiān)測線路造成影響。缺點是：僅有部分廠商的產(chǎn)品支持這一功能； 在監(jiān)測全雙工端口時，如果雙向數(shù)據(jù)流量之和超過100Mbps，則監(jiān)測機將無法準確監(jiān)測。3、監(jiān)測機在監(jiān)測機上將網(wǎng)卡的全接收功能打開，它可以接收所有數(shù)據(jù)并存盤和分析。監(jiān)測機的內(nèi)存大小和CPU的性能都會影響從網(wǎng)卡讀取數(shù)據(jù)的速度，一旦監(jiān)測機 無法及時從網(wǎng)卡讀取數(shù)據(jù)，將造成丟包，影響監(jiān)測的準確性。但是不能為了節(jié)約 內(nèi)存而將采樣時間減小，如果采樣時間過小，如小于 10 秒，則樣本值并不能反 映正確的流量。4 、監(jiān)測軟件：實驗中使用 sniffer 軟件來監(jiān)測數(shù)據(jù)，該軟件還能對樣本進行初步的統(tǒng)計分 析。實驗者可以充分利用軟件的統(tǒng)計功能獲得各項數(shù)據(jù) ，實驗者重點需要完成對 這些數(shù)據(jù)值的大小、 關系、變化趨勢等方面的分析， 以得出網(wǎng)絡流量特點的結論， 并嘗試揭露形成相應特點的原因?！緦嶒灧椒ā吭谶x定的監(jiān)測點；利用交換機的 Monitor 功能和監(jiān)測軟件獲取監(jiān)測數(shù)據(jù)； 多次監(jiān)測，進行采樣、統(tǒng)計、比較和分析?！緦嶒炦M度安排】總時間為兩星期，共 10 天。第一天，了解設計任務要求、熟悉實驗環(huán)境，分組及推選組