2004年7月

第25卷 第7期

通 信 学 报

JOURNAL OF CHINA INSTITUTE OF COMMUNICATIONS

Vol.25 No.7 July 2004

宽带网络监控技术性能优化的研究与实践

李雪莹

1,2

2. 军事医学科学院

情报研究所计算中心

摘 要

述了宽带网络监控技术性能优化的方案和测试结果

在吉比特网络下提出了CCDP结构

最后文中指出应该基于新出现的网络处理器等先进硬件技

术关键词

分布式处理

B 文章编号

许榕生1

详细阐

2004-02-10

基金项目

规划基金资助项目

2001研

3-004

中国科学院知识创新工程基金资助项目

重点基础研究发展

第7期

李雪莹等　

1 引言

随着Internet的广泛使用和布置

不同用户出于不同目的监控网络的不同方面

可以说网络监控是网络故障检测

网络审计和流量统计等多种应用的基本技术

监控的主要对象为流量

但当这些技术和实践被迁移到更高带宽的网络上时

网络监控变得越来越慢

本文介绍了对100/1000bit/s

及吉比特以上的网络监控解决方案的研究和实践

第3部分中详细地分析了高速网络下网络监控技术

面临的主要问题第4部分给出了宽带网络环境下

网络监控性能优化的几种设计和相应的测试方案

最后总结了全文

协议分析

图1 网络监控系统结构示意图

可以通过不同方式实现数据捕获

½»»»»úºÍ·ÓÉÆ÷µÈ±ßÔµÉ豸µÄÍøÂç¹ÜÀíÄ£¿éÌṩ¼Ç¼ͳ¼ÆÐÅÏ¢µÄ¹¦ÄÜ

À´°ïÖúÍøÂçϵͳ¹ÜÀíÔ±Á˽âÍøÂçµÄÈ«¾ÖÐÔÄÜÕâ

ÖÖÍøÂç¼à¿Ø²»Îª¸ü¸ß²ã·ÖÎöÌṩ¸ü¾ßÌåµÄÊý¾Ýϸ½Ú

通 信 学 报 2004年

ÕâÖÖÉ豸¿ÉÒÔ´ÓÍøÂçÉÏÊÕ¼¯Î´¼Ó¹¤µÄÍøÂçÊý¾Ý°üÐÅÏ¢

ËüÌṩһ¸ö¿ÉÒÔÁ¬½Ó²»Í¬ÀàÐÍÍøÂç

SDH等的硬件盒子和后端分析软件

[5]

ËüÄÜÌṩ¸ü¸ßÐÔÄÜ

»òÓë

network intrusion detection system

Ó¦ÓÃÏà¹ØµÄÉó¼ÆÖÐÒ

ò´Ë

Sniff

类的软件ｓｎｉｆｆ－ｉｔ

它们多数是免费或价格便宜

在许多网络监控系统中它们被用于特殊用途

在低速网络上工作得很好

攻击跟踪等

应用功能部分用层

将满足一定条件的数据交给

必须将获取的HTTP数据包解析到应

具有不同的实现方式

因为条件有所不同

3.1 数据获取问题

狭义的数据捕获指网络接口从网络上获取通信数据

在这个过程中首先面临的问题是数据获取的位置问

题每一个以太网Hub端口能提供网络上通信的每一个数据包可以在关键点上插入一个Hub或者使用交换设备提供的端口径向来获取必要的信息特别在主干网上由于没有类似Hub的设备这些却难于实现但这常常会降低交换机的性能ＡＴＭ主干网上多数的路由器上并不提供端口

径向吉比特级乃至更高的网络接口技术的发展使网络数据捕获不

再是问题

其次网络接口卡是唯一从网络上获取数据包的方式常用的网络接口卡工作的比较好但实际通信中没有100bit/s

网络能真正的达到这样的使用率

在2.5M POS或ATM

上POS卡比吉比特以太

网卡工作的状态更差则高层软件和总线再有效都

无济于事

即使在网卡上并没有数据包丢失

2.5Gbit/s已经超过了计算机总线的传输能力

可见

第7期

李雪莹等　

3.2 处理性能问题

协议分析策略的优劣将决定数据处理初期的性能

便要对这些数据进行协议分析

根据应用需求

这将提高了处理速度

这时就要关注数据包处理的有效性

当吞吐量增长时

数据包的丢失就不可避免

这必须在宽带网络环境下被改变

可以采用一些成熟

的技术来提高应用程序的性能

　采用多线程

这会加快应用程序的处理速度

在对网络数据包处理之后

如果不采取任何解决方案在应用

程序的处理过程中添加相应的读写缓冲空间将更有助于解决这一问题

当存储长度达到一定的时候将数据一次性写盘

一次从缓冲中读取n个处理过的IP数据包进行写磁盘操作

不采用应用程序的缓冲而对于每一个数据包都进行写盘的时候需要Tn =

n

²ÉÓûº³åÇøºó½ÚÔ¼µÄʱ¼äΪ

Ìá¸ß×ÜÌåµÄ´¦ÀíËÙ¶È

·ÖÎöµÄ·½·¨

Òò´Ë

ÕâÊÇÓÉ

ÏÖÓм¼ÊõÄÜÁ¦ºÍʵ¼ÊÍøÂç»·¾³²»·û¶ø´øÀ´µÄÐÔÄÜÆ¿¾±

µ«½öÒÀÀµÄ³Ïî¼¼ÊõµÄÌá¸ßÀ´ÊµÏÖ¸úËæÍøÂçËٶȵķ¢Õ¹ÊDz»ÏÖʵµÄ

ÀûÓÃSniffer软件实现数据获取

左右的100Mbit/s

网络上工作得较好

这严重影响了使用效

100Mbit/s网卡可以在80~90Mbit/s

速率下正常工作

内存访问速度及CPU的处理速度是可以实时处理这样速率的网络

因此

其次要对数据获取软件进行相应的设置和改进

果数据的

通 信 学 报 2004年

解决百兆网络环境下网络监控的有效方案

在Windows平台上实现对FTP通信内容实时监

控的网络监控系统

Sniffer软件采用WinPcap

[7]

WinPcap可分为一个过滤机内核态

和用户态缓冲

当这段缓冲较小时

这种情况在将数据传

输到磁盘或者出现突发性数据量时较常见

默认值是256kB

Ϊ´Ë²âÊÔ·½·¨ÎªÔÚFTP服务器和FTP客户端间进行通信

监控机万方数据

表1

内核缓冲 /Mbyte

用户缓冲 /kbyte

缓冲设置调整前后的测试数据表

传输文件大小

/byte

耗时 /s

平均速率

/bit

106

1 463 888

图2 应用性能测试环境示意图

调整后设置 5 2560 26 220 876 2.622

80

¿É¼ûÍøÂç¼à¿ØϵͳÔÚʵÏÖÓ¦Óù¦ÄÜʱ

µ±ÍøÂçËٶȽϿì»òÊý¾ÝÁ¿½Ï´ó

ʱ

Õâ¾Í»á¶ª°ü

Æä±×¶ËÔÚÓÚÕ¼ÓÃÁ˹ý¶àµÄ

ϵͳ»º´æ

4.3 吉比特网络监控的解决方案

宽带网络监控技术与传统网络监控技术的不同之处在于前者面对的数据流更快

因此

虽然吉比特级乃至更高的网络接口技术较为成

熟快速

但可以用分而制之的方法来实现数据处理

用英文的描述就是centralized network traffic capturing and distributed processing

第7期

李雪莹等　

结构

CCDP结构的采用不仅简化了数据获取

过程

提高了总的处

理能力

分布式

处理的主要实施原则是使单个处理机上的处理负载量小于其实际可以承担的最大负载量

如轮转法

最快适应法

图3 集中式数据捕获分布式处理体系结构图

必要因素

负载均衡等多方面的问题

监控应用功能的有效性

考虑到以上网络监控实施中的

须同时考虑应用本身的需要

设计实验方案比较吉比特单机的NIDS与采用4.3节中

提出的CCDP结构的吉比特NIDS的性能所有的入侵检测设备上安装的均为Snort2.0

[9]

万方数据

即吉比特流量发生器

是一台安装了吉比特网卡的Pentium IV计算机

吉比特流量转发器

图5的测试环境中仅使用了四台流量分流设备

但在一定范围内引入更多的流量分流

设备将提高流量处理的能力

图4 吉比特单机NIDS的测试环境 图5 基于CCDP结构的吉比特NIDS测试环境

以上两个测试环境中采用相同的测试方法量下统计检测机生成的警报

由图6和图7可见在流量较小时

采用CCDP

结构的模型的性能没有太大改变

获取不同速率背景流

通 信 学 报

2004年

图6 具有分流设备的性能检测 图7 未经分流的性能检测

4.5 吉比特及吉比特以上级网络监控的方案设计

当吉比特网络的使用率较高或网络的传输速率为吉比特以上时

另外采用计算机作为CCDP结构中的流量转发器

也存在单点失效等问题现出现的网络处理器技术[11]switch chips

万方数据

ÔÚÍøÂç¼à¿Ø¼¼ÊõµÄÐÔÄÜÓÅ»¯ÉÏËù×÷µÄÑо¿Óëʵ¼ù

±à³Ì´úÂëµÄÓÅ»¯

µ«ÔÚ»ùÓÚSniffer软件的网络监控系统的实施中

就吉比特网络而言

随着网络速度进一步提高

并结合分布式处理和

并行计算技术等传统的技术来解决问题

[1] IANNACONE G, DIOT C, GRAHAM L, MCKEOWN N. Monitoring very high speed links [A]. ACM Sigcom Internet

Measurement Workshop[C]. 2001.

[2] Packet capture [EB/OL]. http:///security/packetcapture/.

[3] Remote network monitoring management information base [EB/OL]. http://asg.web.cmu.edu/rfc/rfc1757.html. [4] RFC 2021. Remote Network Monitoring Management Information Base Version 2 Using SMIv2[S].

[5] Hardware network analyzer [EB/OL]. http:///Articles/Index.cfm?ArticleID=40161, September 15, 2003. [6] ANDREW W M, NEUGEBAUER R, HALL J, PRATT I. Network monitoring with nprobe [EB/OL]. http://www.cl.cam.ac.uk/

users/iap10/nprobe2002.pdf.

第7期

李雪莹等　

[7] DEGIOANNI L, TORINO P D. WinPcap documentation 3.0 [EB/OL]. http://winpcap.polito.it/docs/man/html/ index.html. [8] CARSTENS T. Programming with pcap [EB/OL]. http:///pcap.html.

[9] MARTIN ROESCH CHRIS GREEN. Snort users manual- snort release: 2.0.0 [EB/OL]. http:///.

[10] Load module10/100/1000 Mbit/s Ethernet over copper [EB/OL]. http:///products/loadmodules/LM1000T-5.php. [11] SHIMONISHI H, MURASE T. A network processor architecture for flexible QoS control in very high-speed line interfaces[A].

Proceedings of the 2001 IEEE Workshop on High Performance Switching and Routing (HPSR 2001)[C]. 2001. 402-406. [12] Gig ether switch chips [EB/OL]. http:///csdmag/sections/new_products/OEG20010731S0058.

作者简介

李雪莹辽宁沈

阳人主要研究方向为计算机网

络应用

1979-Ö÷ÒªÑо¿·½ÏòΪÍøÂ簲ȫ

刘宝旭山东沂

水人

副研究员

信息安全

1947-Ñо¿Ô±