作者：林文偉

網路流量分析工具

傳統上網路管理者通常透過 SNMP (Simple Network Management Protocol) 協定的工具從支援SNMP的網路設施蒐集網路流量數據，雖然透過此種方式取得資訊不會造成處理上過重的負擔，但是 SNMP 如同其名提供的只是粗糙、簡略的資料。對網管人員而言，SNMP的資訊只能提供有關網路流量的等級及變化，例如不正常的流量增加，但是要讓網管人員能夠判斷所管轄的網路是否有問題並進一步找出問題所在，則需要更詳細的網路活動相關資訊。

在這方面SNMP所提供的資訊只能讓管理者發現問題，卻無法進一步解決問題。因此有另外一種技術的發展，希望能提供更詳細的網路資訊，以協助管理者解決問題，所以封包監聽器 (packet sniffer) 或是類似的網路封包監聽工具開始被用來部署在網路設備上捕捉流過的封包並將封包加以解碼，找出封包標頭中欄位的相關資訊，並進一步分析其內容以取得更詳細的資訊。雖然透過封包監聽工具可以取得更詳細的網路資訊，但因為封包監聽工具通常專注在單一網路封包的內容，而不是整體網路活動的狀態，所以網路管理者很難從封包監聽工具所提供的資訊來掌握整體網路的狀態。此外分析封包非常耗費時間和運算資源，而且封包監聽所儲存的資料量也非常驚人，對於資源非常珍貴的路由器等網路設備，除了執行路由運算外還要額外付出資源在分析封包上，這樣的限制在某些環境中要進行封包監聽是不可行的，例如大型繁忙的網路，甚至可能因為網路太過繁忙而導致系統崩潰，因此封包監聽工具通常用來偵測特定事件而不是監控整個網路的運作狀況。

對網管人員而言，他們需要一套能夠協助其有效掌握整體網路資訊的工具，在此需求下，NetFlow 便成為近來網管人員中相當熱門的工具，因為 NetFlow 能提供比 SNMP 更詳細的網路狀況資訊來協助管理者掌握整個網路，而且 NetFlow 的分析方式也能來避免造成網路頻寬及運算資源過重的負擔。

Netflow 網路流量分析

NetFlow 是由 Cisco 公司的 Darren Kerr 和 Barry Bruins 在 1996 年發展的一套網路流量監測技術，NerFlow 目前已內建在大部分 Cisco 路由器上，同時 Juniper、Ex-treme 等其他網路設備供應商也支援 NetFlow 技術，使其逐漸成為大家都能接受的標準。

Netflow 運作機制

NetFlow 本身主要是一套網路流量統計協定，其背後主要的原理是根據網路封包傳輸時，連續相鄰的封包通常是往相同目的地 IP 位址傳送的特性，配合 cache 快取機制，當網路管理者開啟路由器介面的 NetFlow 功能時，路由器介面會在接受當網路封包時分析其封包的標頭部分來取得流量資料，並將所接到的封包流量的資訊彙整成一筆一筆的Flow，在 NetFlow 協定中 Flow 是被定義為兩端點間單一方向連續的封包流，這意味著每一個網路的連結都會被分別紀錄成兩筆 Flow 資料，其中一筆記錄從客戶端連到伺服器端，另外隨著一筆紀錄從伺服器端連回到客戶端的資訊。

Netflow工具

Netflow使用路由器或相關網路設備送出Flow格式的Packet Summary給收集主機分析。

要收集Netflow的資料目前常使用Flow-Tools來作收集及簡單分析應用。Flow-Tools運作在Linux作業系統之下，常用指令如下：

Flow-capture: 負責收集Route送來的flow-data，存成檔案

Flow-print: 負責將flow-capture收集的raw-data使用ASCII顯示出來

其餘指令請參閱: http://www.splintered.net/sw/flow-tools/docs/

網路管理機制與網路效能

隨著網路科技的蓬勃發展，促成了各式網路服務的興起跟廣泛應用，加上建構高速寬頻的成本也大幅下降，使得企業用戶都建立起屬於自己的高速網路。但是雖然網路的頻寬大幅增加，網路使用的效能卻沒有成正比的提升，網路使用者常為網路塞車所苦，主要是因為部分網路使用者不當的網路使用行為對整體網路造成影響，許多消耗頻寬的應用程式，例如盛行的 peer-to-peer 網路檔案分享軟體，如：edonkey、emule、Bit-Torrent 等，或是網路安全事件，如：蠕蟲爆發或阻斷服務攻擊等，均會造成網路阻塞，使得正常使用者無法順利存取網路，而造成網路使用效能低落。而Netflow提供了一個完善的網路管理機制來有效掌握所管轄網路之狀態並維持良好的網路服務品質、及時排除網路障礙、增進網路維運效能。