常用網絡流量采集技術分析

<b>常用網絡流量采集技術分析</b>

流量采集技術是監控網絡流量的關鍵技術之一，為流量分析提供資料來源。為了能夠在複雜企業網中有效的分析網絡流量，本文對常見的四重網絡流量采集技術進行講解，并分析了不同流量采集方式的優缺點。

<b>1.  Sniffer</b>

嗅探法是一種常用的網絡技術，通過在交換機的鏡像端口設定資料采集點，來捕獲資料封包的，這種方式采集的資訊最全面，可以完全複制網絡中的資料封包。但是Sniffer技術的應用也受到了一定的限制，大多數廠商的裝置不支援跨VLAN或者跨子產品鏡像資料，是以可能需要在多個網段安裝裝探針，在部署上比較複雜，一般企業網絡VLAN數量很多，一般都不可能實作全部VLAN的監控。流量很大的網絡中采用端口鏡像對網絡裝置的性能也會造成一定的影響，而且對所有資料封包都進行采集在吞吐量很大的網絡中也是難以實作的。

2. <b>SNMP</b>

Snmp是一種主動的采集方式，采集程式需要定時取出路由器記憶體中的IPAccounting記錄，同時清空相應的記憶體記錄，才能繼續采集後續的資料，這對路由器的性能造成較大的影響，取得的資料隻包含口層的資料，沒有MAC位址資訊，對于僞造源口位址的蠕蟲病毒無能為力。

<b>3. </b><b>Netflow</b>

Netflow是Cisco公司的專有技術，早期的Netflow版本需要統計所有的網絡資料封包，是以對網絡裝置性能影響較大，v8以後的版本提供了采樣功能，但是Netflow資料中隻有基于流的統計資訊，隻記錄口、端口等資料，也沒有MAC位址資訊。

<b>4.  </b><b>sFlow</b>

sflow采用采樣的方式，通過設定一定的采樣率，進行資料捕獲，對網絡裝置的性能影響很小。sFlow agent一般采集資料封包前128個位元組，通過封裝後發往sFlow receiver，資料封包中包括了完整的源和目标的MAC位址、協定類型、TCP/UDP、端口号、應用層協定，甚至URL資訊。

 本文轉自 李晨光 51CTO部落格，原文連結：http://blog.51cto.com/chenguang/879634，如需轉載請自行聯系原作者