漫谈网络分析-非技术篇

首发在www.csna.cn,链接地址为:http://www.csna.cn/viewthread.php?tid=49009&extra=

欢迎大家转载!

本文为非技术类文章,限于本人技术、知识面有限,文中难免有错误,欢迎各位来拍砖。另外,内容不免掺杂了个人偏见、喜好,仁者见仁智者见智吧!

目录

漫谈网络分析... 1

一、       What什么是网络流量分析... 1

二、       Who 主流网络分析厂商... 2

三、       Why 网络分析的主要用途... 4

1.       性能分析... 4

2.       网络排障... 5

3.       安全监控... 7

4.       业务梳理... 8

5.       强审计、取证... 9

四、       Where 用在哪些客户网络中... 9

五、       How 未来前景... 11

 

一、    What什么是网络流量分析

什么是网络流量分析,网络流量分析就是对在网络中传输的实际数据流进行分析,网络数据流的分析包括从底层的数据流一直到应用层数据的分析,有时我们也称为网络协议分析。引自《实用网络流量分析技术》,高彦刚注。

更多的人简之称为网络分析,俗称“抓包”技术,相信大家一听到抓包,就不再会陌生,可能会想不就是sniffer么。目前可以说sniffer就是抓包的一个代名词,在5-10年后,年轻的技术们再谈到抓包,可能首先想到的会是科来,相信能看到这段话的朋友,对科来肯定不会陌生。

为什么这么说呢,那我们就来分析下。首先大家为什么一谈到抓包,自热而然的想到snifferSniffer9798年左右就开始支持windows平台,而其强大的分析功能也得到了大家的认可,尤其是前几年蠕虫病毒的爆发,彻底让sniffer火了一把。而且大家用到的sniffer都是免费的,可以无限制的使用。其实sniffer也是收费的,只不过大家拿到手的都是破解版本的,用的比较广泛的就是4.75这个版本了,以及稍微新一点的4.9这个版本。

现在出现了一个问题,目前主流的4.75\4.9是在XP基础上破解的,不支持win7。但随着win7的广泛普及,却没有一个出现支持win7sniffer破解版本。其实,这也从侧面反映了目前大家对sniffer的需求已经不再如之前那么急迫了。

为什么是科来,而不是其他。首先科来是国内自主研发,支持中英文界面;另外科来软件从2001就研制出来,并且经过国外市场的考验,产品的功能是被大家认可的,目前国内的19+万的下载量也表明了这个事实。现在一提到科来,很多人亲切地称为“中国的sniffer”。其实,大部分用户用到的基本功能,两者之前也并没有什么明显区别,可能使用起来科来比较灵活方便吧,比如节点浏览器、数据包解码的查看等。截止到今天,csna论坛的会员数: 194522

二、    Who 主流网络分析厂商

目前主流的网络分析工具有:snifferwiresharkOmnipeekclearsight、科来。

NetScout84年成立,07年收购sniffer,在性能管理方面是业界最好的。Sniffer是老牌的分析工具,业绩知名度最高。

Riverbed,传统的广域网优化厂商,10年收购CACEWireshark的母公司),增强其协议优化能力。Wireshark是开源的网络分析工具,支持的解码能力很强。

Fluke,知名的电子测试工具提供商,11年收购ClearSight,从而可以提供全面测量解决方案,。ClearSight的前身是AppDancerNetworksSniffer-ProNetXray的始创团队组建,语音、应用还原能力较强。

WildPackets,老牌的分析厂商,其产品为Omnipeek,易用性和解码能力都不错。

科来,03年成立,06年进入国内市场(之前只在国外销售,产品覆盖80多个国家),目前国内唯一的网络分析厂商,产品易用性好,其安全分析能力较强。

另外也有一些厂商,也叫做网络分析,但不具备协议解码能力,个人称之为伪网络分析。

深信服,国内知名的×××、上网行为管理产品提供商,其产品APM应用性能管理,也有人称之为网络分析产品,但其不能提供对协议的解码能力。

Niksun,也能提供基于流量镜像的性能、安全分析解决方案,其还原能力非常强,适合于内容审计等,但其也未能提供二层的帧解码能力。

故以上两家公司提供的分析产品,由于未提供2-7层的协议解码能力,本文不做为网络分析产品提供商。

三、    Why 网络分析的主要用途

网络分析在网络管理工作中,价值主要体现在哪些方面呢?本文从如下几个方面来介绍。

1.      性能分析

主要是业务系统的性能问题,比如业务系统访问比较慢,这个慢是什么问题导致的,是网络层还是应用层的问题。这类问题,由于通过目前常见的基于SNMP的网管类产品,无法进行有效的定位。也是网管人员比较头疼的事情,因为一旦出现业务访问慢,更多的人(比如上级领导)第一感觉是网络问题,责任被扣在网络管理人员头上。其实也有很多时候,这些问题并非网络导致,而是业务系统自身问题,但网络管理人员由于拿不出有效的证据,来充分展现问题的根源,也只能被冤屈了。

由于网络分析类产品,展现了详细的数据包解码、完整的数据流、数据会话,可以把底层的网络流量,可以直观的呈现在网管人员面前,有助于快速进行性能分析,问题定位。

 

 

漫谈网络分析-非技术篇_第1张图片

TCP交易列表-科来网络分析系统

上图截自“科来网络分析系统2010”,可以把交易的整个会话通过时序图的方式展现,各个数据包的延时,以及延时的详细数据包内容,都可以进行分析。

注:由于科来的产品中文界面,易用性好,后面截图如无特别备注,都选用科来的相关产品截图。

2.      网络排障

网络故障、业务故障,出现故障首先需要定位、快速排除,然后通过有效监控,避免故障再次发生。

排除故障,需要进行全面的了解,详细的数据包解码。正是由于网络分析产品能提供数据包级别的分析,在进行疑难网络故障排除时,网络分析成为技术人员的首选。

在海量的数据包中,技术人员从中能快速找到异常数据包,肯定是不现实的。所以,目前主流的网络分析产品都提供了智能诊断、专家系统等功能,用于主动提取数据包中的异常信息、异常主机。

而智能诊断的能力以及故障定位、分析的灵活性,也成为选择网络分析产品的一个重要参数。下图提供了科来的诊断截图:

 

漫谈网络分析-非技术篇_第2张图片

诊断-科来网络分析系统

有了网络分析产品,一旦有故障可以随时去分析、定位、解决。而有些故障,属于间歇性的故障,可能由于短暂的异常流量、异常***导致,但异常现象消失后,故障也随之消失。在技术人员接到投诉,去解决故障时,可能问题已经消失了,无法进行有效分析,造成了故障隐患的长期存在。所以,目前一些厂商提供了相应的基于回溯分析的硬件平台。

 

漫谈网络分析-非技术篇_第3张图片

任意时间回溯-科来网络回溯分析系统

3.      安全监控

保障网络系统的安全一直是网络管理人员工作的一个重要部分,而目前一些防火墙、UTMIPS/IDS×××设备对网络的安全性做了有力保障。目前对网络中比较常见的蠕虫病毒***、异常扫描、僵尸网络、***等,主要是通过IPS/IDS等设备进行监控、报警、阻断。

IPS/IDS主要基于特征码来识别***行为的工作方式,也决定了其必然会产生一些漏报、错报。而真正使其在用户网络中发挥效用,则需要网络管理人员花费更多的时间和精力去调整、验证相关参数。

网络分析产品其基于网络行为识别+数据包验证的工作方式,在安全监控方面尤其是:蠕虫病毒***、dos***、僵尸网络、******等,能给网络管理人员提供有力的保障。

另外网络分析也可以结合IPS/IDS设备进行完美的结合,比如,IPS/IDS提供了IP+时间+***描述的警报,对警报的进一步分析可以交给能提供数据包解码的网络分析产品。

前面介绍的几个主流网络分析产品,能把网络分析用于安全监控、并且发挥效用的,好像只有科来一家在做。

 

漫谈网络分析-非技术篇_第4张图片

实时警报-科来网络回溯分析系统

4.      业务梳理

现在大家都在讲等保,那咱们也来谈谈。等保要求对网络划分不同的安全域,对各应用服务器的访问进行严格控制,这些控制的依据从何而来,对策略的限制是否有效,如何去验证?实现这些,可能具有回溯能力的网络分析类产品是一个不错的选择。

漫谈网络分析-非技术篇_第5张图片

 

数据挖掘-科来网络回溯分析系统

5.      强审计、取证

同样是等保,要求对于安全或故障等重大事件,必须能提供一定时间段的回溯、审计能力,这个时间段的长短,基于等保等级的不同而不同。

回溯和审计的目的,也就是为了能对事件进行事后分析,并且能提供分析结果提供证据。那数据包作为最基础、最底层的网络数据单元,也成了强审计、取证的不二之选。

 

漫谈网络分析-非技术篇_第6张图片

数据包解码-科来网络分析系统

当然,并不是非等保用户就没有这样的需求,只是在等保用户凸显的更明显些。

四、    Where 用在哪些客户网络中

目前都有哪些用户在使用网络分析产品呢,其实覆盖的范围很广的,金融、政府、公安、电信、电力、企业等都有客户在使用,只是基于对网络分析技术的认知不同,用户的使用群体大小存在一定差异。

而真正能把这些产品用起来,体现其价值的客户并不多。由于金融行业的业务系统的重要性、复杂性,对故障的响应时间要求较高等,使其成为网络分析产品最成熟的客户群。尤其是在c/s架构比较多的环境,是网络分析产品使用比较频繁的地方,因为业务性能问题更明显一些。毕竟B/S架构的业务,开发需要一定的标准规范,问题更多地出现在浏览器兼容、函数调用不合理等方面;而c/s架构下,需要单独的开发客户端程序,由其引发的故障也相应多了。金融行业的网络中,在测试部门肯定是需要网络分析类产品,以及一些重要的业务系统需要快速的故障响应,这些区域也有必要进行长期的网络分析监控。

政府、公安等单位,对网络的安全性要求较高,国家对政务的安全也比较重视,比较大的全国性专网有:政务网、政务外网、公安网,这些网络之间又有逻辑隔离、物理隔离等关系,而这些隔离在各省市的落实情况也会有或多或少的差距。所以安全监控成为了这些用户进行网络管理的重点,网络分析类产品作为对目前安全监控的一个重要补充,有效的增强了其蠕虫病毒、***、僵尸网络、dos***的监控、分析能力。目前国内的分析厂商科来软件,在政府、公安等行业,用的比较多。

电力行业,目前在国内智能电网吵的比较热,在智能电网背景下,需要对网络进行更深入、详细的监控和分析。目前国内的5大发电集团、2家电网公司,在不同的网络环境中,其各自的协议、标准也不尽相同,更多地是一些私有协议。而对这些私有协议的监控,必须有协议解码、识别能力的厂商才能提供,用户基于一些安全性考虑,以及需要针对性的协议开发。几大主流网络分析厂商,能在国内提供针对性研发的并不多,而作为国内厂商科来软件在电力用户的选择方面,可能优势比较明显。

五、    How 未来前景

网络分析未来的前景如何?

随着网络规模越来越大,网络问题越来越复杂,用户对深入分析、监控的需求也越来越明显。

网络分析能发展到什么程度,是由网络技术人员对其认知度来决定的。

一套新业务系统的上线,首先进行风险评估、安全评估,那为什么要做这些呢,因为目前用户已经认识到了网络安全的重要性。一旦一套新的业务系统上线,技术人员首先想到的是用网络分析产品对其安全、性能等进行分析,那网络分析技术也就真的起来了。

其中www.csna.cn作为国内最大的网络分析技术论坛,有能力也有平台能帮助技术人员来提升网络分析实战能力。目前论坛已经分别在20112012年整理出了案例集,并且提供了专家解答平台,既然给大家提供了这么好的平台,有这么多的案例分析、专家点评,那大家一定要好好利用起来。好的资源没有理由拒绝!

引用一句话:学好TCP/IP,什么网络知识都不怕;学好网络分析,一切故障都不怕。

2012.8.27

Long_323