◆陳斯智

（福建省泉州市氣象局 福建 362000）

1 引言

隨著計算機技術(shù)的不斷發(fā)展和成熟，隨著網(wǎng)絡應用的不斷擴展，網(wǎng)絡上的業(yè)務類型越來越多，例如視頻、圖像等，網(wǎng)絡上傳輸?shù)臄?shù)據(jù)類型增加，網(wǎng)絡擁塞的頻率比以前大大提高。由于海量數(shù)據(jù)流的傳輸，對網(wǎng)絡帶寬和通信質(zhì)量的要求更高。當網(wǎng)絡受特洛伊木馬、蠕蟲等病毒的影響時，問題就會變得越來越嚴重。當網(wǎng)絡中出現(xiàn)不安全因素時，網(wǎng)絡流量就會產(chǎn)生相應的變化，并且會出現(xiàn)流量異常的現(xiàn)象，因此如何準確檢測網(wǎng)絡異常流量，并采取相應的對策以確保網(wǎng)絡正常運行就顯得非常重要了[1-3]。網(wǎng)絡流量的大小是網(wǎng)絡運行過程中檢測網(wǎng)絡流量異常的重要指標，當然網(wǎng)絡流量異常檢測問題的研究一直沒有停止過，當前有著大量的網(wǎng)絡流量異常檢測模型和方法。網(wǎng)絡流量異常檢測可以認為是一種網(wǎng)絡流量分類問題，即將網(wǎng)絡狀態(tài)劃分為正常和異常兩種情況，當處于異常狀態(tài)時，就對其進行相應的處理；如果是正常狀態(tài)，那么就不用制定相應防范措施[4]。氣象雷達站全天候運行，大量的數(shù)據(jù)往省局的服務器上傳，流量出現(xiàn)異常將會影響數(shù)據(jù)上傳的及時率，嚴重的話會導致數(shù)據(jù)的缺測，影響考核指標。所以如何準確快速地找出流量異常的方法就至關重要了。

2 網(wǎng)絡流量的概況

網(wǎng)絡在運行的過程中，會產(chǎn)生數(shù)據(jù)流，網(wǎng)絡流量就是網(wǎng)絡的數(shù)據(jù)量。在運行網(wǎng)絡流量的過程中，網(wǎng)絡運行故障或網(wǎng)絡操作有異常的情況下，會導致網(wǎng)絡流量異常。在網(wǎng)絡流量運行過程中，由于網(wǎng)絡設備的變化，尤其是網(wǎng)關等設備的變化，將影響網(wǎng)絡流量的變化。如果原始網(wǎng)絡設備出現(xiàn)故障，則需要更換網(wǎng)絡設備，添加新的網(wǎng)絡設備會在一定程度上影響網(wǎng)絡流量的大小。在網(wǎng)絡運行的初始階段，網(wǎng)絡運行不正常等導致的網(wǎng)絡流量異常尤其明顯，流量變化也相對劇烈，但是在非網(wǎng)絡流量異常的情況下，網(wǎng)絡流量已恢復穩(wěn)定，即使有發(fā)生變化，其變化也是很小，相對穩(wěn)定，不容易直觀地發(fā)現(xiàn)[5]。

當某個網(wǎng)絡信息或內(nèi)容具有更高的熱點時，則網(wǎng)站流量會突然增加。對于許多網(wǎng)站，他們的網(wǎng)絡容量受到限制，網(wǎng)絡帶寬和處理能力也受到限制。當服務器繁忙或網(wǎng)絡阻塞時，網(wǎng)站的性能將會下降。網(wǎng)絡突發(fā)流量的特征是指它們會在網(wǎng)絡中存在一定的時限，在限制范圍內(nèi)，新的網(wǎng)絡用戶繼續(xù)進入網(wǎng)絡系統(tǒng)，從而導致網(wǎng)絡流量有著明顯的變化[5]。

泉州氣象雷達站采用電信移動雙鏈路冗余的方式接入，如圖 1所示。電信帶寬為 4Mbps，理論上傳下載速度為500KB/s，移動帶寬為8Mbps，理論上傳下載數(shù)據(jù)為1000KB/s。通過路由器的 VRRP 協(xié)議，移動路由器設置成高優(yōu)先級，為主用路由器，電信路由器設置成低優(yōu)先級，為備用路由器。默認情況下，業(yè)務數(shù)據(jù)首選移動線路傳輸，而在移動線路出現(xiàn)故障時，會自動切換到電信線路。

圖 1 雷達站網(wǎng)絡拓撲

3 網(wǎng)絡流量異常的發(fā)現(xiàn)及處理過程

泉州雷達站與市氣象局為站局分離模式，在雷達站使用內(nèi)網(wǎng)訪問市局業(yè)務平臺時，發(fā)現(xiàn)操作異常卡頓。進行 ping 包測試，延時嚴重，都在 100ms 以上，并且會斷續(xù)出現(xiàn)丟包現(xiàn)象。利用 Tracert 命令，進行路由節(jié)點追蹤，發(fā)現(xiàn)數(shù)據(jù)默認走了電信線路。雷達實時數(shù)據(jù)傳輸流量約為350KB/s，此大小傳輸速率，無論是電信線路，還是移動線路帶寬都是滿足的。首先懷疑是電信線路開通的帶寬不足而造成堵塞。經(jīng)電信運營商方面確認后，線路帶寬正常為4Mbps，但是發(fā)現(xiàn)通過電信線路出口數(shù)據(jù)流量峰值高達5Mbps，帶寬不足導致數(shù)據(jù)堵塞延時。為不影響雷達數(shù)據(jù)傳輸?shù)臅r效性，須先排查默認線路變化的原因。分別登入移動、電信路由器查看配置，發(fā)現(xiàn)電信路由的 VRRP 優(yōu)先級比移動路由的優(yōu)先級高，導致數(shù)據(jù)默認走電信線路。解決方法為：

在電信路由器上 G0/0 刪除默認為 100 的優(yōu)先級，命令如下：

在移動路由器上設置 G0/0 優(yōu)先級的優(yōu)先級為 120，命令如下：

配置完成后，分別重新查看 VRRP 配置，移動線路狀態(tài)顯示為“Master”，圖 2所示，電信線路狀態(tài)顯示為“Backup”圖 3所示。

圖 2 移動路由器 VRRP 正確配置信息

圖 3 電信路由器 VRRP 正確配置信息

通過 tracert 命令，追蹤省局目的 IP 地址，此時數(shù)據(jù)已經(jīng)正常優(yōu)先通過移動線路傳輸。再訪問市局其他業(yè)務平臺，網(wǎng)速也有明顯提升。分析造成路由器主備線路對調(diào)的原因，可能是當初配置路由時未及時保存信息，重啟路由操作后，導致配置信息丟失。故在路由器配置操作完成后，需及時保存配置，并導出路由器配置，以便后續(xù)設備出現(xiàn)故障能夠及時導入還原。默認線路調(diào)整后，出口數(shù)據(jù)流量還是很大。因此必須找出異常流量的設備，排查是否由于電腦中毒導致對外攻擊或者是遭到攻擊。如果關閉所有電腦，逐一排查是否有異常流量的方法顯然不太現(xiàn)實，因為有多臺業(yè)務機在實時傳輸數(shù)據(jù)。但是，如果通過對交換機數(shù)據(jù)流量進行抓包分析，就可以無須關閉設備，且明確判斷出流量異常的設備。數(shù)據(jù)抓包的方法步驟如下：

首先設置交換機的映像端口，一個端口鏡像（SPAN）會話只能有一個目的端口（監(jiān)控端口），但是可以有多個源端口（被監(jiān)控端口）。我們設置移動和電信路由接入交換機的 G0/1 和 G0/2 口為被監(jiān)視的端口，命令為

端口鏡像使用結(jié)束后，可以使用以下命令刪除。

ZMS-QZ（config）#no monitor session 1

如果對銳捷交換機命令不熟悉的，也可以通過交換機的 WEB 管理平臺進行配置。用管理員賬號密碼登錄 WEB 頁面，左側(cè)列表選擇“系統(tǒng)管理”下的“端口鏡像”，端口鏡像設置中，選擇 G0/18 為監(jiān)控端口，勾選 G0/1 和 G0/2 為被監(jiān)控端口，保存。

頁面配置完成，我們可以輸入 show monitor 來驗證命令，得出如下信息為配置成功。

交換機鏡像配置完成后，在筆記本上安裝 wireshark 抓包軟件，裝好后筆記本網(wǎng)口直連到交換機 G0/18。wireshark 是捕獲機器上的某一塊網(wǎng)卡的網(wǎng)絡包，當你的筆記本上有多塊網(wǎng)卡的時候，你需要選擇直連到交換機的那塊網(wǎng)卡。

點擊“Start”，就可開始抓包。通過分析抓包軟件抓取的數(shù)據(jù)包信息，雷達站有一臺電腦與市局一臺服務器有大量 TCP 鏈接，而且請求的數(shù)據(jù)包都比較大。確定好是哪臺電腦流量異常，就可以針對那臺電腦做出檢查。經(jīng)查，雷達站電腦上開啟了天氣實景監(jiān)控系統(tǒng)的控制客戶端，對全市8 個站的實景做出實時監(jiān)控。因?qū)崟r監(jiān)控需占用大量的流量帶寬。關閉該控制客戶端后，發(fā)現(xiàn)流量明顯回歸正常，故障排除。

4 結(jié)論

對于復雜或故障特征并不明確的網(wǎng)絡故障，可以采用抓包軟件在關鍵故障點進行抓包的方法，通過獲取的網(wǎng)絡數(shù)據(jù)包，結(jié)合 TCP/IP 協(xié)議簇的工作原理，分析數(shù)據(jù)包的收發(fā)、重傳、丟包等情況，則可以迅速的縮小故障源的范圍，甚至獲得故障原因的直接信息。利用抓包軟件實現(xiàn)網(wǎng)絡安全，防止網(wǎng)上病毒傳播并排查網(wǎng)絡故障有重大意義。