0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

虹科分享 | 基于流的流量分类的工作原理 | 网络流量监控

虹科网络可视化技术 2023-04-20 15:00 次阅读

许多ntop产品,如ntopng、nProbe和PF_RING FT等都是基于网络流的。然而,并不是所有的用户都详细知道什么是网络流,以及它在实践中是如何工作的。这篇博客文章描述了它们是什么以及它们在实践中是如何工作的。

什么是网络流量

网络流是一组具有公共财产的数据包。它们通常由5元组密钥标识,这意味着给定流的所有数据包都具有相同的源和目的IP、源和目的端口以及应用协议(例如TCP)。在实践中,流密钥还至少包括VLAN Id,并且最终包括诸如封装业务的隧道ID之类的其他属性。流是一种通过使用公共密钥对数据包进行聚类然后对流量进行分类的方法,它与运行netstat-na等命令时在计算机上看到的情况类似。每个流都有各种计数器,用于跟踪流数据包/字节和各种其他属性,如流计时器(第一个和最后一个流数据包的时间)、统计信息(重传、数据包无序等)和安全属性(例如流风险)。

流量是如何存储在内存中的?

网络流保存在一个名为流缓存的数据结构中(通常使用哈希表实现),该数据结构不断地提供传入的数据包。流高速缓存在存储器中存储活动流(即,当接收到属于流的分组时仍然活动的那些流)。下面您可以看到ntopng如何显示实时流缓存及其5元组密钥。

网络流何时开始?

一旦观察到第一个流分组,网络流就开始。在启动时,流缓存是空的,并且随着数据包的接收而被填满。对每个传入的数据包进行解码,并计算流密钥。在流缓存中搜索这样的密钥:如果没有找到,则向流缓存中添加新的条目,否则更新具有这样的密钥的现有条目,即更新流数据包/字节和计时器的计数器。因此,本质上,当观察到第一个流分组时,流就开始了。

网络流何时结束?

每个流都有两个老化计时器:空闲计时器(它跟踪自接收到最后一个流数据包以来已经过去了多少时间)和持续时间计时器(它记录流持续的时间)。当这两个老化定时器中的一个到期时,即当流空闲太长(例如,有一段时间没有接收到分组)或当流在流高速缓存中存储太长时,流结束。在nProbe和PF_RING FT中,当流过期时,它将从流缓存中删除并发送到收集器。相反,在ntopng中,从流缓存中删除流只是为了空闲,因为持久流不会从缓存中删除。原因是像nProbe这样的流量探测器需要定期向收集器(例如ntopng)报告有关监控流量的信息,因此流量会被“剪切”并发送到收集器。相反,在ntopng中,不需要通知收集器,因此只要在首选项中配置了必要的内容,流就会留在内存中。

流的关键点和方向

如果流是在接收到第一个流数据包时创建的,那么我们可以将流客户端视为真正的网络客户端。例如,从主机1.2.3.4上的客户端到主机5.6.7.8的SSH,这种通信的流程将是1.2.3.4:X<->5.6.7.8:22(我们假设SSH在端口22上运行)。看起来是对的吧?但有时你会看到,在流缓存中,这样的流被报告为5.6.7.8:22<->1.2.3.4:X。为什么?这可能是由于各种原因造成的:

  • 应用程序(例如ntopng)在流开始后启动,ntopng观察到的第一个数据包是5.6.7.8:22->1.2.3.4:X,而不是1.2.3.4:X->5.6.7.8:22。
  • 流使用正确的密钥存储在缓存中,但有一段时间(例如2分钟)没有交换数据包,因此应用程序已将流声明为过期,并将其从流缓存中删除。然后,如果突然观察到一个新的数据包,则该数据包可能会被发送到错误的方向(例如5.6.7.8:22->1.2.3.4:X),因为这可能是服务器的保存数据包。在这种情况下,流以相反的方向(9,因此是错误的)放置在高速缓存中。

可以配置ntopng(通过首选项)和nProbe(使用带有-t和-d的命令行)流超时,因此这些问题得到了缓解(尽管没有完全解决)。然而,仅仅调整超时是不够的,特别是对于UDP流,因为与TCP相反,没有TCP标志可以用来猜测真实的流方向。因此,ntopng实现了一些启发式来交换流向,但这种启发式不能太激进,因为我们可能会报告无效信息。

我们希望这篇文章能让大家明白基于流量的网络流量分析是如何工作的,以及为什么有时会观察到一些“意外”行为,不是因为漏洞,而是因为这些测量的性质。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络
    +关注

    关注

    14

    文章

    7511

    浏览量

    88607
  • 流量
    +关注

    关注

    0

    文章

    243

    浏览量

    23880
  • 流量监控
    +关注

    关注

    0

    文章

    17

    浏览量

    7360
收藏 人收藏

    评论

    相关推荐

    涡街流量计的工作原理

         涡街流量计的工作原理主要基于“卡门涡街”原理。涡街流量计是国际上普遍采用的流量计量仪表,涡街流量计具有其它计量仪表无法超越的优点,
    的头像 发表于 11-04 09:47 116次阅读
    涡街<b class='flag-5'>流量</b>计的<b class='flag-5'>工作原理</b>

    网络故障导致流量失控?看Qci方案如何一招制胜!

    关键数据的优先级和带宽得到保障。本文将深入探讨IEEE802.1Qci协议的基本概念、工作原理以及提供的Qci解决方案,帮您理解如何通过精确的
    的头像 发表于 06-20 08:04 435次阅读
    <b class='flag-5'>网络</b>故障导致<b class='flag-5'>流量</b>失控?看<b class='flag-5'>虹</b><b class='flag-5'>科</b>Qci方案如何一招制胜!

    艾体宝干货 | 教程:使用ntopng和nProbe监控网络流量

    本文是关于使用 ntopng 和 nProbe 监控网络流量的教程。文章详细介绍了如何配置和使用这两个工具来监控和分析网络流量。内容涉及硬件和软件的安装、配置端口镜像、静态IP地址设置
    的头像 发表于 05-29 15:35 801次阅读
    艾体宝干货 | 教程:使用ntopng和nProbe<b class='flag-5'>监控</b><b class='flag-5'>网络流量</b>

    流量计的分类工作原理

    流量计是工业和环境监测中用于测量管道中流体流量的设备。它们可以基于不同的工作原理和设计,适用于不同类型的流体和工况。
    的头像 发表于 05-14 15:32 1189次阅读

    电磁流量计的工作原理及其分类

    电磁流量计是一种利用电磁感应原理来测量导电流体体积流量的仪表。
    的头像 发表于 05-08 16:40 879次阅读

    艾体宝产品 | Allegro网络流量分析仪

    艾体宝产品 | Allegro网络流量分析仪
    的头像 发表于 04-29 08:04 437次阅读
    艾体宝产品 | Allegro<b class='flag-5'>网络流量</b>分析仪

    用物联流量卡的监控器能改变移动流量卡吗

    流量卡的监控工作原理、功能和应用场景等方面进行介绍,以帮助读者更好地理解和使用物联流量卡的监控器。 一:物联
    的头像 发表于 04-11 17:38 625次阅读
    用物联<b class='flag-5'>流量</b>卡的<b class='flag-5'>监控</b>器能改变移动<b class='flag-5'>流量</b>卡吗

    电磁流量计工作原理公式 电磁流量计的主要参数及调整方法

    电磁流量计是一种测量液体流量的仪器,它通过测量液体通过导电管道时的电磁感应来实现流量测量。其工作原理基于法拉第电磁感应定律,即当导体在磁场中运动时,会产生感应电动势,并与导体的速度和磁
    的头像 发表于 02-05 13:44 6451次阅读

    网络监控工具有哪些 网络监控用几芯网线

    网络监控工具有很多种,根据不同的监控目标和需求,可以选择适合的监控工具。下面将介绍一些常见的网络监控
    的头像 发表于 01-24 10:00 996次阅读

    分享 | 实现网络流量的全面访问和可视性——Profitap和Ntop联合解决方案

    这次和大家分享如何捕捉、分析和解读网络数据,从而更有效地监控网络流量,实现网络性能的最大化。首先来看一个实际的问题——“网速太慢”。
    的头像 发表于 01-18 10:40 383次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>分享 | 实现<b class='flag-5'>网络流量</b>的全面访问和可视性——Profitap和Ntop联合解决方案

    实现网络流量的全面访问和可视性——Profitap和Ntop联合解决方案

    这次和大家分享如何捕捉、分析和解读网络数据,从而更有效地监控网络流量,实现网络性能的最大化。首先来看一个实际的问题——“网速太慢”。一为什么客户抱怨“网速太慢”?互联网服务提供商面临着
    的头像 发表于 01-13 08:04 720次阅读
    实现<b class='flag-5'>网络流量</b>的全面访问和可视性——Profitap和Ntop联合解决方案

    网络流量对PLC控制过程的影响测试内容

    在测试中,我们令所有的PLC在其最大性能下运行(最短循环时间)并输出周期信号。测试以PLC正常状况下的输出作为参考信号,如果网络流量对PLC的电气输出造成影响,则实际输出信号相对参考信号将会产生偏移。
    发表于 12-27 14:12 628次阅读
    <b class='flag-5'>网络流量</b>对PLC控制过程的影响测试内容

    RMON是什么?RMON 的工作原理

    地理解网络流量和性能,以便进行故障排除、性能优化和安全监控。 RMON的工作原理基于SNMP(简单网络管理协议)和RMON MIB(管理信息库)来实现对
    的头像 发表于 12-21 17:24 647次阅读

    RMON是什么?RMON的工作原理

    RMON (Remote Network MONitoring)是一个网络监控工具,用于监视和管理网络性能。RMON 是一个标准,它定义了监控和报告
    的头像 发表于 12-19 17:18 589次阅读

    靶式流量开关原理 靶式流量开关怎么接线 靶式流量开关靶片断裂?

    ,靶片是其核心部件之一。下面我将从靶式流量开关的工作原理、接线方法和靶片断裂的原因分析等方面进行详尽、详实、细致的阐述。 一、靶式流量开关的工作原理 靶式
    的头像 发表于 12-15 09:31 1604次阅读