（文章來(lái)源：百家號(hào)）

網(wǎng)絡(luò)流量監(jiān)控在網(wǎng)絡(luò)管理、入侵監(jiān)測(cè)、協(xié)議分析、流量工程等領(lǐng)域有著廣泛應(yīng)用，網(wǎng)絡(luò)流量監(jiān)控是網(wǎng)絡(luò)流量特征歸納、網(wǎng)絡(luò)行為分析的重要基礎(chǔ)，是網(wǎng)絡(luò)安全最重要的組成部分。

內(nèi)網(wǎng)各個(gè)主機(jī)之間的通訊，都是通過(guò)數(shù)據(jù)包來(lái)完成的，在數(shù)據(jù)包中標(biāo)識(shí)了通訊內(nèi)容、通訊協(xié)議、發(fā)送源地址以及發(fā)送目的地址信息，可以通過(guò)分析這些數(shù)據(jù)，了解當(dāng)前網(wǎng)絡(luò)的運(yùn)行情況，在第一時(shí)間排查故障。一些常見(jiàn)的病毒入侵、網(wǎng)絡(luò)性能問(wèn)題、網(wǎng)絡(luò)異常行為都可以通過(guò)分析數(shù)據(jù)包來(lái)發(fā)現(xiàn)故障源頭。

基于主機(jī)內(nèi)嵌軟件監(jiān)測(cè)基于主機(jī)內(nèi)嵌軟件的流量監(jiān)測(cè)，在主機(jī)內(nèi)安裝流量監(jiān)測(cè)軟件以完成流量監(jiān)測(cè)任務(wù)。通過(guò)軟件套接字嵌入軟件截獲往返通信內(nèi)容。該方式能夠截獲全部通信報(bào)文，可以進(jìn)行各種協(xié)議層的分析，但不能看到全網(wǎng)范圍的流量情況。

基于流量鏡像協(xié)議分析流量鏡像（在線TAP）協(xié)議把網(wǎng)絡(luò)設(shè)備的某個(gè)端口（鏈路）流量鏡像給協(xié)議分析儀，通過(guò)7層協(xié)議解碼對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)。協(xié)議分析是網(wǎng)絡(luò)監(jiān)測(cè)最基本的手段，特別適合網(wǎng)絡(luò)故障分析，但是只針對(duì)單條鏈路，不適合全網(wǎng)監(jiān)測(cè)。

基于硬件探針監(jiān)測(cè)硬件探針是一種用來(lái)獲取網(wǎng)絡(luò)流量的硬件設(shè)備，使用時(shí)將它串接在需要捕獲流量的鏈路中，通過(guò)分流鏈路上的數(shù)字信號(hào)獲取流量信息。一個(gè)硬件探針監(jiān)測(cè)一個(gè)子網(wǎng)的流量信息（通常是一條鏈路）。對(duì)于全網(wǎng)的監(jiān)測(cè)需要采用分布式方案，在每條鏈路部署一個(gè)探針，再通過(guò)后臺(tái)服務(wù)器和數(shù)據(jù)庫(kù)，收集所有探針的數(shù)據(jù)，做全網(wǎng)的流量分析和長(zhǎng)期報(bào)告。該方式，能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息。但受限于探針的接口速率，一般只針對(duì)1000M以下的速率，著重單條鏈路的流量分析。

基于SNMP協(xié)議的流量監(jiān)測(cè)基于SNMP協(xié)議的流量監(jiān)測(cè)，通過(guò)網(wǎng)絡(luò)設(shè)備MIB收集一些具體設(shè)備及流量信息有關(guān)的變量。包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯(cuò)誤數(shù)、輸入未知協(xié)議包數(shù)、輸出包數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯(cuò)誤數(shù)、輸出隊(duì)長(zhǎng)等，類似方式還包括RMON。該方式，使用軟件方法實(shí)現(xiàn)，不需要對(duì)網(wǎng)絡(luò)進(jìn)行改造或增加部件、配置簡(jiǎn)單、費(fèi)用低。但是只包括字節(jié)數(shù)、報(bào)文數(shù)等最基本的內(nèi)容，不適用于復(fù)雜的流量監(jiān)測(cè)。

基于Netflow的流量監(jiān)測(cè)基于Netflow的流量監(jiān)測(cè)，提供的流量信息擴(kuò)大到了基于五元組（源IP地址、目的IP地址、源端口、目的端口、協(xié)議號(hào)）的字節(jié)數(shù)和報(bào)文數(shù)統(tǒng)計(jì)，可以區(qū)分各個(gè)邏輯通道上的流。該監(jiān)測(cè)方法，通常需要在網(wǎng)絡(luò)設(shè)備上附加單獨(dú)的功能模塊實(shí)現(xiàn)。

基于鏡像端口的流量監(jiān)測(cè)端口鏡像（Port Mirroring）能夠把交換機(jī)一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端口。當(dāng)沒(méi)有設(shè)置鏡像端口針對(duì)本地網(wǎng)卡進(jìn)行監(jiān)控時(shí)，所能捕獲的僅僅是本機(jī)流量以及網(wǎng)絡(luò)中的廣播數(shù)據(jù)包、組播數(shù)據(jù)包，而其他主機(jī)的通訊數(shù)據(jù)包是無(wú)法獲取的。對(duì)于交互式網(wǎng)絡(luò)來(lái)說(shuō)，可以在交換機(jī)或路由器上設(shè)置鏡像端口，指定交換機(jī)多個(gè)或所有端口鏡像到一個(gè)端口，這樣通過(guò)連接該端口并監(jiān)控，就可以捕獲多個(gè)端口的總流量數(shù)據(jù)。該方式能夠很容易獲取全網(wǎng)的流量數(shù)據(jù)，但對(duì)于分析系統(tǒng)的接收性能以及網(wǎng)絡(luò)帶寬要求較高。

流量監(jiān)控有利于及時(shí)了解整個(gè)網(wǎng)絡(luò)的運(yùn)行態(tài)勢(shì)、網(wǎng)絡(luò)負(fù)載情況、網(wǎng)絡(luò)安全狀況、流量發(fā)展趨勢(shì)、用戶行為模式、業(yè)務(wù)與站點(diǎn)的接受程度，為網(wǎng)絡(luò)的運(yùn)行和維護(hù)提供重要依據(jù)，有利于管理人員進(jìn)行網(wǎng)絡(luò)性能分析、異常檢測(cè)、鏈路狀態(tài)監(jiān)測(cè)、容量規(guī)劃等工作。

流量監(jiān)控為流量分析提供了基礎(chǔ)數(shù)據(jù)（流量分析主要從帶寬、網(wǎng)絡(luò)協(xié)議、基于網(wǎng)段的業(yè)務(wù)、網(wǎng)絡(luò)異常流量、應(yīng)用服務(wù)異常等五個(gè)方面進(jìn)行流量分析）。在一個(gè)復(fù)雜的網(wǎng)絡(luò)環(huán)境中，必須保證重要應(yīng)用的帶寬需求，通過(guò)基于帶寬的網(wǎng)絡(luò)流量分析，能夠及時(shí)明確帶寬使用情況，帶寬不足時(shí)，可以盡快解決。針對(duì)不同網(wǎng)絡(luò)協(xié)議進(jìn)行流量監(jiān)控和分析，如果某一協(xié)議在一個(gè)時(shí)間段內(nèi)出現(xiàn)超常暴漲，就有可能是攻擊流量或蠕蟲病毒出現(xiàn)。大多數(shù)組織，將不同業(yè)務(wù)系統(tǒng)通過(guò)VLAN進(jìn)行邏輯隔離，流量系統(tǒng)可以針對(duì)不同的VLAN進(jìn)行網(wǎng)絡(luò)流量監(jiān)控，以監(jiān)控業(yè)務(wù)系統(tǒng)是否異常。