網絡流量監控在網絡管理、入侵監測、協議分析、流量工程等領域有着廣泛應用，網絡流量監控是網絡流量特征歸納、網絡行為分析的重要基礎，是網絡安全最重要的組成部分。

内網各個主機之間的通訊，都是通過數據包來完成的，在數據包中标識了通訊内容、通訊協議、發送源地址以及發送目的地址信息，可以通過分析這些數據，了解當前網絡的運行情況，在第一時間排查故障。一些常見的病毒入侵、網絡性能問題、網絡異常行為都可以通過分析數據包來發現故障源頭。

• 基于主機内嵌軟件監測

基于主機内嵌軟件的流量監測，在主機内安裝流量監測軟件以完成流量監測任務。通過軟件套接字嵌入軟件截獲往返通信内容。該方式能夠截獲全部通信報文，可以進行各種協議層的分析，但不能看到全網範圍的流量情況。

• 基于流量鏡像協議分析

流量鏡像（在線TAP）協議把網絡設備的某個端口（鍊路）流量鏡像給協議分析儀，通過7層協議解碼對網絡流量進行檢測。協議分析是網絡監測最基本的手段，特别适合網絡故障分析，但是隻針對單條鍊路，不适合全網監測。

• 基于硬件探針監測

硬件探針是一種用來獲取網絡流量的硬件設備，使用時将它串接在需要捕獲流量的鍊路中，通過分流鍊路上的數字信号獲取流量信息。一個硬件探針監測一個子網的流量信息（通常是一條鍊路）。對于全網的監測需要采用分布式方案，在每條鍊路部署一個探針，再通過後台服務器和數據庫，收集所有探針的數據，做全網的流量分析和長期報告。該方式，能夠提供豐富的從物理層到應用層的詳細信息。但受限于探針的接口速率，一般隻針對1000M以下的速率，着重單條鍊路的流量分析。

• 基于SNMP協議的流量監測

基于SNMP協議的流量監測，通過網絡設備MIB收集一些具體設備及流量信息有關的變量。包括：輸入字節數、輸入非廣播包數、輸入廣播包數、輸入包丢棄數、輸入包錯誤數、輸入未知協議包數、輸出包數、輸出非廣播包數、輸出廣播包數、輸出包丢棄數、輸出包錯誤數、輸出隊長等，類似方式還包括RMON。該方式，使用軟件方法實現，不需要對網絡進行改造或增加部件、配置簡單、費用低。但是隻包括字節數、報文數等最基本的内容，不适用于複雜的流量監測。

• 基于Netflow的流量監測

基于Netflow的流量監測，提供的流量信息擴大到了基于五元組（源IP地址、目的IP地址、源端口、目的端口、協議号）的字節數和報文數統計，可以區分各個邏輯通道上的流。該監測方法，通常需要在網絡設備上附加單獨的功能模塊實現。

• 基于鏡像端口的流量監測

端口鏡像（Port Mirroring）能夠把交換機一個或多個端口（VLAN）的數據鏡像到一個或多個端口。當沒有設置鏡像端口針對本地網卡進行監控時，所能捕獲的僅僅是本機流量以及網絡中的廣播數據包、組播數據包，而其他主機的通訊數據包是無法獲取的。對于交互式網絡來說，可以在交換機或路由器上設置鏡像端口，指定交換機多個或所有端口鏡像到一個端口，這樣通過連接該端口并監控，就可以捕獲多個端口的總流量數據。該方式能夠很容易獲取全網的流量數據，但對于分析系統的接收性能以及網絡帶寬要求較高。

流量監控有利于及時了解整個網絡的運行态勢、網絡負載情況、網絡安全狀況、流量發展趨勢、用戶行為模式、業務與站點的接受程度，為網絡的運行和維護提供重要依據，有利于管理人員進行網絡性能分析、異常檢測、鍊路狀态監測、容量規劃等工作。

流量監控為流量分析提供了基礎數據（流量分析主要從帶寬、網絡協議、基于網段的業務、網絡異常流量、應用服務異常等五個方面進行流量分析）。在一個複雜的網絡環境中，必須保證重要應用的帶寬需求，通過基于帶寬的網絡流量分析，能夠及時明确帶寬使用情況，帶寬不足時，可以盡快解決。針對不同網絡協議進行流量監控和分析，如果某一協議在一個時間段内出現超常暴漲，就有可能是攻擊流量或蠕蟲病毒出現。大多數組織，将不同業務系統通過VLAN進行邏輯隔離，流量系統可以針對不同的VLAN進行網絡流量監控，以監控業務系統是否異常。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!