2004年7月
第25卷 第7期
通 信 学 报
JOURNAL OF CHINA INSTITUTE OF COMMUNICATIONS
Vol.25 No.7 July 2004
宽带网络监控技术性能优化的研究与实践
李雪莹
1,2
2. 军事医学科学院
情报研究所计算中心
摘 要
述了宽带网络监控技术性能优化的方案和测试结果
在吉比特网络下提出了CCDP结构
最后文中指出应该基于新出现的网络处理器等先进硬件技
术关键词
分布式处理
B 文章编号
许榕生1
详细阐
2004-02-10
基金项目
规划基金资助项目
2001研
3-004
中国科学院知识创新工程基金资助项目
重点基础研究发展
第7期
李雪莹等
1 引言
随着Internet的广泛使用和布置
不同用户出于不同目的监控网络的不同方面
可以说网络监控是网络故障检测
网络审计和流量统计等多种应用的基本技术
监控的主要对象为流量
但当这些技术和实践被迁移到更高带宽的网络上时
网络监控变得越来越慢
本文介绍了对100/1000bit/s
及吉比特以上的网络监控解决方案的研究和实践
第3部分中详细地分析了高速网络下网络监控技术
面临的主要问题第4部分给出了宽带网络环境下
网络监控性能优化的几种设计和相应的测试方案
最后总结了全文
协议分析
图1 网络监控系统结构示意图
可以通过不同方式实现数据捕获
½»»»»úºÍ·ÓÉÆ÷µÈ±ßÔµÉ豸µÄÍøÂç¹ÜÀíÄ£¿éÌṩ¼Ç¼ͳ¼ÆÐÅÏ¢µÄ¹¦ÄÜ
À´°ïÖúÍøÂçϵͳ¹ÜÀíÔ±Á˽âÍøÂçµÄÈ«¾ÖÐÔÄÜÕâ
ÖÖÍøÂç¼à¿Ø²»Îª¸ü¸ß²ã·ÖÎöÌṩ¸ü¾ßÌåµÄÊý¾Ýϸ½Ú
通 信 学 报 2004年
ÕâÖÖÉ豸¿ÉÒÔ´ÓÍøÂçÉÏÊÕ¼¯Î´¼Ó¹¤µÄÍøÂçÊý¾Ý°üÐÅÏ¢
ËüÌṩһ¸ö¿ÉÒÔÁ¬½Ó²»Í¬ÀàÐÍÍøÂç
SDH等的硬件盒子和后端分析软件
[5]
ËüÄÜÌṩ¸ü¸ßÐÔÄÜ
»òÓë
network intrusion detection system
Ó¦ÓÃÏà¹ØµÄÉó¼ÆÖÐÒ
ò´Ë
Sniff
类的软件sniff-it
它们多数是免费或价格便宜
在许多网络监控系统中它们被用于特殊用途
在低速网络上工作得很好
攻击跟踪等
应用功能部分用层
将满足一定条件的数据交给
必须将获取的HTTP数据包解析到应
具有不同的实现方式
因为条件有所不同
3.1 数据获取问题
狭义的数据捕获指网络接口从网络上获取通信数据
在这个过程中首先面临的问题是数据获取的位置问
题每一个以太网Hub端口能提供网络上通信的每一个数据包可以在关键点上插入一个Hub或者使用交换设备提供的端口径向来获取必要的信息特别在主干网上由于没有类似Hub的设备这些却难于实现但这常常会降低交换机的性能ATM主干网上多数的路由器上并不提供端口
径向吉比特级乃至更高的网络接口技术的发展使网络数据捕获不
再是问题
其次网络接口卡是唯一从网络上获取数据包的方式常用的网络接口卡工作的比较好但实际通信中没有100bit/s
网络能真正的达到这样的使用率
在2.5M POS或ATM
上POS卡比吉比特以太
网卡工作的状态更差则高层软件和总线再有效都
无济于事
即使在网卡上并没有数据包丢失
2.5Gbit/s已经超过了计算机总线的传输能力
可见
第7期
李雪莹等
3.2 处理性能问题
协议分析策略的优劣将决定数据处理初期的性能
便要对这些数据进行协议分析
根据应用需求
这将提高了处理速度
这时就要关注数据包处理的有效性
当吞吐量增长时
数据包的丢失就不可避免
这必须在宽带网络环境下被改变
可以采用一些成熟
的技术来提高应用程序的性能
采用多线程
这会加快应用程序的处理速度
在对网络数据包处理之后
如果不采取任何解决方案在应用
程序的处理过程中添加相应的读写缓冲空间将更有助于解决这一问题
当存储长度达到一定的时候将数据一次性写盘
一次从缓冲中读取n个处理过的IP数据包进行写磁盘操作
不采用应用程序的缓冲而对于每一个数据包都进行写盘的时候需要Tn =
n
²ÉÓûº³åÇøºó½ÚÔ¼µÄʱ¼äΪ
Ìá¸ß×ÜÌåµÄ´¦ÀíËÙ¶È
·ÖÎöµÄ·½·¨
Òò´Ë
ÕâÊÇÓÉ
ÏÖÓм¼ÊõÄÜÁ¦ºÍʵ¼ÊÍøÂç»·¾³²»·û¶ø´øÀ´µÄÐÔÄÜÆ¿¾±
µ«½öÒÀÀµÄ³Ïî¼¼ÊõµÄÌá¸ßÀ´ÊµÏÖ¸úËæÍøÂçËٶȵķ¢Õ¹ÊDz»ÏÖʵµÄ
ÀûÓÃSniffer软件实现数据获取
左右的100Mbit/s
网络上工作得较好
这严重影响了使用效
100Mbit/s网卡可以在80~90Mbit/s
速率下正常工作
内存访问速度及CPU的处理速度是可以实时处理这样速率的网络
因此
其次要对数据获取软件进行相应的设置和改进
果数据的
通 信 学 报 2004年
解决百兆网络环境下网络监控的有效方案
在Windows平台上实现对FTP通信内容实时监
控的网络监控系统
Sniffer软件采用WinPcap
[7]
WinPcap可分为一个过滤机内核态
和用户态缓冲
当这段缓冲较小时
这种情况在将数据传
输到磁盘或者出现突发性数据量时较常见
默认值是256kB
Ϊ´Ë²âÊÔ·½·¨ÎªÔÚFTP服务器和FTP客户端间进行通信
监控机万方数据
表1
内核缓冲 /Mbyte
用户缓冲 /kbyte
缓冲设置调整前后的测试数据表
传输文件大小
/byte
耗时 /s
平均速率
/bit
106
1 463 888
图2 应用性能测试环境示意图
调整后设置 5 2560 26 220 876 2.622
80
¿É¼ûÍøÂç¼à¿ØϵͳÔÚʵÏÖÓ¦Óù¦ÄÜʱ
µ±ÍøÂçËٶȽϿì»òÊý¾ÝÁ¿½Ï´ó
ʱ
Õâ¾Í»á¶ª°ü
Æä±×¶ËÔÚÓÚÕ¼ÓÃÁ˹ý¶àµÄ
ϵͳ»º´æ
4.3 吉比特网络监控的解决方案
宽带网络监控技术与传统网络监控技术的不同之处在于前者面对的数据流更快
因此
虽然吉比特级乃至更高的网络接口技术较为成
熟快速
但可以用分而制之的方法来实现数据处理
用英文的描述就是centralized network traffic capturing and distributed processing
第7期
李雪莹等
结构
CCDP结构的采用不仅简化了数据获取
过程
提高了总的处
理能力
分布式
处理的主要实施原则是使单个处理机上的处理负载量小于其实际可以承担的最大负载量
如轮转法
最快适应法
图3 集中式数据捕获分布式处理体系结构图
必要因素
负载均衡等多方面的问题
监控应用功能的有效性
考虑到以上网络监控实施中的
须同时考虑应用本身的需要
设计实验方案比较吉比特单机的NIDS与采用4.3节中
提出的CCDP结构的吉比特NIDS的性能所有的入侵检测设备上安装的均为Snort2.0
[9]
万方数据
即吉比特流量发生器
是一台安装了吉比特网卡的Pentium IV计算机
吉比特流量转发器
图5的测试环境中仅使用了四台流量分流设备
但在一定范围内引入更多的流量分流
设备将提高流量处理的能力
图4 吉比特单机NIDS的测试环境 图5 基于CCDP结构的吉比特NIDS测试环境
以上两个测试环境中采用相同的测试方法量下统计检测机生成的警报
由图6和图7可见在流量较小时
采用CCDP
结构的模型的性能没有太大改变
获取不同速率背景流
通 信 学 报
2004年
图6 具有分流设备的性能检测 图7 未经分流的性能检测
4.5 吉比特及吉比特以上级网络监控的方案设计
当吉比特网络的使用率较高或网络的传输速率为吉比特以上时
另外采用计算机作为CCDP结构中的流量转发器
也存在单点失效等问题现出现的网络处理器技术[11]switch chips
万方数据
ÔÚÍøÂç¼à¿Ø¼¼ÊõµÄÐÔÄÜÓÅ»¯ÉÏËù×÷µÄÑо¿Óëʵ¼ù
±à³Ì´úÂëµÄÓÅ»¯
µ«ÔÚ»ùÓÚSniffer软件的网络监控系统的实施中
就吉比特网络而言
随着网络速度进一步提高
并结合分布式处理和
并行计算技术等传统的技术来解决问题
[1] IANNACONE G, DIOT C, GRAHAM L, MCKEOWN N. Monitoring very high speed links [A]. ACM Sigcom Internet
Measurement Workshop[C]. 2001.
[2] Packet capture [EB/OL]. http:///security/packetcapture/.
[3] Remote network monitoring management information base [EB/OL]. http://asg.web.cmu.edu/rfc/rfc1757.html. [4] RFC 2021. Remote Network Monitoring Management Information Base Version 2 Using SMIv2[S].
[5] Hardware network analyzer [EB/OL]. http:///Articles/Index.cfm?ArticleID=40161, September 15, 2003. [6] ANDREW W M, NEUGEBAUER R, HALL J, PRATT I. Network monitoring with nprobe [EB/OL]. http://www.cl.cam.ac.uk/
users/iap10/nprobe2002.pdf.
第7期
李雪莹等
[7] DEGIOANNI L, TORINO P D. WinPcap documentation 3.0 [EB/OL]. http://winpcap.polito.it/docs/man/html/ index.html. [8] CARSTENS T. Programming with pcap [EB/OL]. http:///pcap.html.
[9] MARTIN ROESCH CHRIS GREEN. Snort users manual- snort release: 2.0.0 [EB/OL]. http:///.
[10] Load module10/100/1000 Mbit/s Ethernet over copper [EB/OL]. http:///products/loadmodules/LM1000T-5.php. [11] SHIMONISHI H, MURASE T. A network processor architecture for flexible QoS control in very high-speed line interfaces[A].
Proceedings of the 2001 IEEE Workshop on High Performance Switching and Routing (HPSR 2001)[C]. 2001. 402-406. [12] Gig ether switch chips [EB/OL]. http:///csdmag/sections/new_products/OEG20010731S0058.
作者简介
李雪莹辽宁沈
阳人主要研究方向为计算机网
络应用
1979-Ö÷ÒªÑо¿·½ÏòΪÍøÂ簲ȫ
刘宝旭山东沂
水人
副研究员
信息安全
1947-Ñо¿Ô±