【正文】 數(shù)據(jù)包進(jìn)行過濾，過濾掉包含有敏感IP地址的數(shù)據(jù)包并轉(zhuǎn)發(fā)合法的請求和信息。通過分析每個(gè)數(shù)據(jù)幀解析得到IP包頭信息，將數(shù)據(jù)幀中的有關(guān)流量數(shù)據(jù)、源和目的地址(IP地址或MAC地址)，數(shù)據(jù)包類型等信息記錄下來，存入在同一主機(jī)上的流量監(jiān)控?cái)?shù)據(jù)庫，完成數(shù)據(jù)采集工作。::(1)網(wǎng)絡(luò)監(jiān)控主機(jī):作為雙重宿主主機(jī)，至少具有兩塊網(wǎng)卡，一塊是內(nèi)網(wǎng)卡與內(nèi)部網(wǎng)絡(luò)相連，一塊是外網(wǎng)卡與外部網(wǎng)絡(luò)相連，充當(dāng)內(nèi)、外部網(wǎng)絡(luò)信息交流的唯一物理通道，可以看作是連接內(nèi)、外部網(wǎng)絡(luò)一個(gè)透明網(wǎng)關(guān)，但是在IP層以上它對于用戶和網(wǎng)絡(luò)設(shè)備都是透明的。另外，由于網(wǎng)絡(luò)管理系統(tǒng)歸根到底是為網(wǎng)絡(luò)的管理者和使用者提供監(jiān)視、控制網(wǎng)絡(luò)的手段和各種信息服務(wù)，所以為用戶提供更好、更方便、快捷的網(wǎng)絡(luò)管理手段也應(yīng)該是網(wǎng)絡(luò)管理系統(tǒng)的重要目標(biāo)之一。第四章 Windows平臺(tái)上的綜合網(wǎng)絡(luò)管理系統(tǒng)總體設(shè)計(jì)網(wǎng)絡(luò)管理的基本功能是對組成網(wǎng)絡(luò)的資源和設(shè)備進(jìn)行管理，使其能夠穩(wěn)定、可靠地運(yùn)行，為用戶提供高效的服務(wù)。在使用防火墻時(shí)還要注意杜絕后門(受防火墻保護(hù)的網(wǎng)絡(luò)的內(nèi)部用戶通過Modem等方式直接與外部網(wǎng)絡(luò)相連，使網(wǎng)絡(luò)有多個(gè)出口即形成后門)泄漏現(xiàn)象的發(fā)生，因?yàn)檫@時(shí)外部網(wǎng)絡(luò)用戶可繞過防火墻從后門直接訪問內(nèi)部網(wǎng)絡(luò)，避開了防火墻的安全監(jiān)測，顯然這時(shí)的防火墻就形同虛設(shè)。●屏蔽子網(wǎng)防火墻:是在屏蔽主機(jī)體系結(jié)構(gòu)的基礎(chǔ)上，通過添加了周邊網(wǎng)絡(luò)(屏蔽子網(wǎng))更進(jìn)一步的同外部網(wǎng)絡(luò)隔離開，即在內(nèi)、外部網(wǎng)絡(luò)之間構(gòu)筑一個(gè)安全子網(wǎng)，用來隔離堡壘主機(jī)和內(nèi)部網(wǎng)，使內(nèi)、外部網(wǎng)絡(luò)之間有兩層隔斷，從而減少網(wǎng)絡(luò)安全對堡壘主機(jī)可靠性的依賴。它的安全性主要由數(shù)據(jù)包過濾系統(tǒng)提供保證。在代理服務(wù)技術(shù)中的防火墻主機(jī)就是一個(gè)雙重宿主主機(jī)。●雙重宿主主機(jī)防火墻:、外部網(wǎng)絡(luò)之間，至少有兩個(gè)網(wǎng)絡(luò)接口(網(wǎng)卡)，一個(gè)是內(nèi)部網(wǎng)絡(luò)接口，一個(gè)是外部網(wǎng)絡(luò)(工nternet)接口。狀態(tài)監(jiān)視服務(wù)可以監(jiān)視RPC(遠(yuǎn)程過程調(diào)用)和UDP端口信息，而包過濾和代理服務(wù)則都無法做到。狀態(tài)監(jiān)視服務(wù)的監(jiān)視模塊在不影響網(wǎng)絡(luò)安全、正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測，并作安全決策的依據(jù)。另外，使用網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)NAT(Network AddressTranslation)可以屏蔽內(nèi)部子網(wǎng)，使內(nèi)部子網(wǎng)結(jié)構(gòu)和各種重要協(xié)議信息如IP地址、路由信息等對外部來講是不可見的。因此，管理員可以根據(jù)需要對IP地址、用戶名、服務(wù)類型、端口或域名等進(jìn)行限制從而控制客戶的訪問范圍和服務(wù)類型等如可以過濾FTP連接，拒絕使用FTPpu“放置)命令，以保證用戶不能將文件寫到匿名服務(wù)器。它將內(nèi)部系統(tǒng)與外界隔離開來，從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與以上兩種技術(shù)不同，代理服務(wù)技術(shù)的內(nèi)部網(wǎng)與外部網(wǎng)間不存在直接連接，實(shí)現(xiàn)了防火墻內(nèi)外系統(tǒng)的隔離，同時(shí)，代理服務(wù)技術(shù)可實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、日志和審計(jì)等服務(wù)。應(yīng)用網(wǎng)關(guān)一般運(yùn)行在專用工作站上，對易登陸、控制的網(wǎng)絡(luò)系統(tǒng)實(shí)施嚴(yán)格的控制，從而確保網(wǎng)絡(luò)的安全。目前，基于IP包內(nèi)容的包過濾技術(shù)是研究的熱點(diǎn)之一，用于對數(shù)據(jù)包中的內(nèi)容進(jìn)行校驗(yàn)，通過將數(shù)據(jù)包重組實(shí)現(xiàn)數(shù)據(jù)還原，再對其進(jìn)行全文檢索(可能還要包括解壓縮甚至解密)，而后通過跟系統(tǒng)預(yù)先設(shè)定的敏感目標(biāo)字比較對數(shù)據(jù)包進(jìn)行過濾，這種方案可以在更高的層次上加強(qiáng)網(wǎng)絡(luò)的安全性，但是所引起的網(wǎng)絡(luò)效率的下降也是個(gè)有待解決的重要問題。②在工作站上使用軟件進(jìn)行包過濾但是價(jià)格較貴。但是，這是一種基于網(wǎng)絡(luò)層(基于IP地址)或鏈路層 (基于 MAC地址)的安全技術(shù)，對于應(yīng)用層的黑客行為無能為力如無法防范含有計(jì)算機(jī)病毒及有害信息的IP包。●包過濾技術(shù):目前，包過濾防火墻的安全性主要基于對數(shù)據(jù)包的IP地址或MAC地址的校驗(yàn)。防火墻是一種基于網(wǎng)絡(luò)邊界的被動(dòng)安全技術(shù)，對內(nèi)部未授權(quán)訪問難以有效控制，因此較適合于內(nèi)部網(wǎng)絡(luò)相對獨(dú)立，且與外部網(wǎng)絡(luò)的互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對集中的網(wǎng)絡(luò)。防火墻系統(tǒng)可以是路由器，也可以是個(gè)人計(jì)算機(jī)、主系統(tǒng)或者是一批主系統(tǒng)，用于把節(jié)點(diǎn)或子網(wǎng)同那些可能被子網(wǎng)外的主系統(tǒng)濫用的協(xié)議和服務(wù)隔絕。防火墻的基本思想是:不是對每臺(tái)主機(jī)系統(tǒng)進(jìn)行保護(hù)，而是讓所有對系統(tǒng)的訪問通過某一點(diǎn)，集中保護(hù)這一點(diǎn)并盡可能地對外界屏蔽保護(hù)網(wǎng)絡(luò)的信息和結(jié)構(gòu)。(3)防火墻技術(shù)作為加強(qiáng)網(wǎng)絡(luò)間訪問控制的網(wǎng)絡(luò)互聯(lián)設(shè)備，防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的系統(tǒng)，保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入、過濾不良信息并阻止對于信息資源的未授權(quán)訪問，是保護(hù)Intranet的最重要的手段之一。如果沒有正確建立發(fā)送者或接收者的身份，則進(jìn)行任何授權(quán)和信息加密都是通常是沒有任何意義的。常用的SSL(SecureSocketsLayer)安全措施就是利用以上兩種加密技術(shù)對客戶端和服務(wù)器之間所傳輸?shù)男畔⑦M(jìn)行加密，從而保證即使用戶數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時(shí)被截獲，也無法被破譯和使用。常用的加密方法有對稱密鑰加密(私鑰加密)和非對稱密鑰加密(公開密鑰加密)。(1)加密技術(shù)數(shù)據(jù)加密技術(shù)作為主動(dòng)網(wǎng)絡(luò)安全技術(shù)，是提高網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的保密性、防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段。(4)對涉及網(wǎng)絡(luò)安全的訪問點(diǎn)進(jìn)行定期檢查，維護(hù)網(wǎng)絡(luò)安全性。(3)對有關(guān)設(shè)備和主機(jī)進(jìn)行相應(yīng)的配置，保護(hù)訪問點(diǎn):要實(shí)現(xiàn)網(wǎng)絡(luò)安全管理的目的，就必須采用各種安全技術(shù)對所確認(rèn)的這些網(wǎng)絡(luò)訪問點(diǎn)進(jìn)行可靠的保護(hù)。另外還有WWW服務(wù)、電子郵件、遠(yuǎn)程過程調(diào)用、網(wǎng)絡(luò)文件服務(wù)以及域名服務(wù)都可以提供進(jìn)入計(jì)算機(jī)和網(wǎng)絡(luò)的服務(wù)訪問點(diǎn)。另外，除信息本身外，保證網(wǎng)絡(luò)設(shè)備和主機(jī)不收惡意用戶的攻擊，確保它們能夠正常地為用戶提供有關(guān)的網(wǎng)絡(luò)服務(wù)，也應(yīng)是網(wǎng)絡(luò)管理者所要考慮的安全管理目標(biāo).(2)找出網(wǎng)絡(luò)訪問點(diǎn):全面檢查整個(gè)網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備和主機(jī)的所有網(wǎng)絡(luò)訪問服務(wù)從而確認(rèn)其他網(wǎng)絡(luò)用戶是如何訪問到所認(rèn)定的敏感信息以及它們所在的主機(jī)一敏感主機(jī)?！衽c安全有關(guān)的網(wǎng)絡(luò)操作事件的記錄、維護(hù)和查閱等日志管理工作等等。●與安全有關(guān)的事件通知，如網(wǎng)絡(luò)有非法侵入、無權(quán)用戶對特定信息的訪問企圖等。網(wǎng)絡(luò)中主要有以下幾大安全問題:網(wǎng)絡(luò)數(shù)據(jù)的私有性(保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵入者非法獲取)，授權(quán)(防止侵入者在網(wǎng)絡(luò)上發(fā)送錯(cuò)誤信息)，訪問控制(控制對網(wǎng)絡(luò)資源的訪問)。安全性一直是網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一，而用戶對網(wǎng)絡(luò)安全的要求又相當(dāng)高，因此網(wǎng)絡(luò)安全管理非常重要。另外，由于它是基于IP地址的計(jì)費(fèi)，所以無法防止IP 盜用和用于非IP協(xié)議。它采用了標(biāo)準(zhǔn)SNMP方法實(shí)現(xiàn)，在數(shù)據(jù)采集手段上與其他網(wǎng)管功能保持了一致。另外，監(jiān)聽工作站可能會(huì)丟失數(shù)據(jù)包，也可能會(huì)截取無效的數(shù)據(jù)包，導(dǎo)致得到的流量數(shù)據(jù)不準(zhǔn)確，不過這可以通過提高監(jiān)聽主機(jī)、網(wǎng)卡的性能和限制以太網(wǎng)中的主機(jī)數(shù)量來解決。在實(shí)現(xiàn)上也只需要增加一臺(tái)專用的數(shù)據(jù)采集的計(jì)算機(jī) (該計(jì)算機(jī)也可同時(shí)用于其他工作).由于它截獲的是整個(gè)數(shù)據(jù)包，在特定情況下，還可以用于網(wǎng)絡(luò)的安全監(jiān)視。但是，需要配置一臺(tái)代理服務(wù)器并作為連接內(nèi)、外網(wǎng)絡(luò)的唯一物理通道。而且它的功能全面，可以利用代理服器的功能，對上網(wǎng)的不同服務(wù)進(jìn)行分類統(tǒng)計(jì)，局域網(wǎng)內(nèi)部協(xié)議也不影響整個(gè)工作站的上網(wǎng)請求。在設(shè)計(jì)計(jì)費(fèi)管理系統(tǒng)時(shí)，應(yīng)該根據(jù)局域網(wǎng)內(nèi)部設(shè)備環(huán)境和采用的計(jì)費(fèi)模式來綜合確定計(jì)費(fèi)數(shù)據(jù)采集方案。也不能太短，否則會(huì)增大路由器的處理開銷和通信線路的開銷，必須根據(jù)網(wǎng)絡(luò)的實(shí)際情況合理設(shè)置。MIB作為SNMP定義的一系列支持操作語義的管理信息變量，包括了和計(jì)費(fèi)相關(guān)的MIB變量，只要對邊界路由器(用以連接內(nèi)、外部網(wǎng)絡(luò))作適當(dāng)配置，它就將自動(dòng)記錄所有通過該路由器的進(jìn)出流量。圖 基于路由器計(jì)費(fèi)的網(wǎng)絡(luò)結(jié)構(gòu)圖在如圖 所示的網(wǎng)絡(luò)結(jié)構(gòu)中，對校園網(wǎng)或企業(yè)內(nèi)部網(wǎng)來說，其與外部網(wǎng)絡(luò)進(jìn)行通信的所有IP數(shù)據(jù)報(bào)都必須經(jīng)由邊界路由器路由。因?yàn)橐蕴W(wǎng)的監(jiān)聽只能在同一網(wǎng)段內(nèi)進(jìn)行，采用這種結(jié)構(gòu)比較適合內(nèi)部網(wǎng)規(guī)模較大特別是包括多個(gè)子網(wǎng)的情況。，可以將監(jiān)聽/計(jì)費(fèi)工作站即數(shù)據(jù)采集主機(jī)完全按與其他主機(jī)相同的方法連接到以太網(wǎng)，將其網(wǎng)卡設(shè)置在幀聽工作狀態(tài)，通過監(jiān)聽進(jìn)程(可以作為一個(gè)后臺(tái)守護(hù)進(jìn)程運(yùn)行)在數(shù)據(jù)鏈路層自動(dòng)截取以太網(wǎng)上的所有數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)幀)，然后通過解析每個(gè)數(shù)據(jù)幀，得到該幀中的有關(guān)流量數(shù)據(jù)、源和目的地址(IP地址或MAC地址)，數(shù)據(jù)包協(xié)議類型等信息，記錄下來，完成數(shù)據(jù)采集，而后就可以在統(tǒng)計(jì)的基礎(chǔ)上開發(fā)計(jì)費(fèi)應(yīng)用?？梢?，位于以太網(wǎng)內(nèi)的任何一臺(tái)主機(jī)都可以監(jiān)聽到網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)包。目前還有一種基于防火墻的計(jì)費(fèi)，利用防火墻對數(shù)據(jù)的過濾和監(jiān)控記錄，產(chǎn)生基于IP地址的上網(wǎng)流量日志，其計(jì)費(fèi)原理和基于代理的計(jì)費(fèi)大體相同。在這種案中，當(dāng)一個(gè)已通過身份驗(yàn)證的合法用戶，進(jìn)行工nternet訪問時(shí)，代理服務(wù)器在轉(zhuǎn)發(fā)該用戶Internet請求的同時(shí)，會(huì)記錄用戶賬號(hào)、用戶IP地址、請求時(shí)間、URL、發(fā)送和接收字節(jié)長度等詳細(xì)信息到日志中，通過分析日志中的字段，而后再作簡單的統(tǒng)計(jì)就可以得出用戶的資源使用情況了。網(wǎng)內(nèi)計(jì)算機(jī)的Internet請求通過代理服務(wù)器上的外網(wǎng)卡轉(zhuǎn)發(fā)出服務(wù)請求，并將響應(yīng)數(shù)據(jù)通過代理服務(wù)器的內(nèi)網(wǎng)卡轉(zhuǎn)發(fā)給請求服務(wù)的內(nèi)部計(jì)算機(jī)。代理服務(wù)器配置了兩個(gè)網(wǎng)卡，一個(gè)(外網(wǎng)卡，一般具有合法的IP地址)通過路由器連至外部網(wǎng)絡(luò)，另一個(gè)(內(nèi)網(wǎng)卡，使用真實(shí)或虛擬的IP地址)通過交換機(jī)連至內(nèi)部網(wǎng)絡(luò)，從而從物理鏈路上完全確定代理服務(wù)器是所有內(nèi)外部網(wǎng)絡(luò)之間通信的唯一通道。對于一個(gè)大型網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)，可能需要處理大量不同類型的服務(wù)、用戶、網(wǎng)絡(luò)的計(jì)費(fèi)信息如可能既有撥號(hào)用戶又有局域網(wǎng)用戶，另外還提供電子郵件服務(wù)，就必須集成以上所述這三種計(jì)費(fèi)方式實(shí)現(xiàn)綜合計(jì)費(fèi)管理。該方式適合于專線(如DDN,X .25等)或?qū)拵Ы尤刖W(wǎng)絡(luò)的用戶。目前，收取費(fèi)用的服務(wù)主要有:電子郵件、數(shù)據(jù)庫信息查詢、可以通過郵件服務(wù)器生成的日志文件獲取計(jì)費(fèi)信息，然后按字節(jié)收費(fèi)。目前常用的方法就是采用RADIUS/TACACS等身份認(rèn)證軟件對撥號(hào)用戶監(jiān)控，利用LOG記錄以撥入時(shí)間計(jì)費(fèi)。(3)計(jì)算用戶賬單和生成統(tǒng)計(jì)報(bào)表:根據(jù)計(jì)費(fèi)策略及計(jì)費(fèi)信息統(tǒng)計(jì)用戶費(fèi)用。簡單地說 ，計(jì)費(fèi)管理主要包括以下三個(gè)步驟:(1)制定計(jì)費(fèi)策略:根據(jù)網(wǎng)絡(luò)的實(shí)際情況、網(wǎng)絡(luò)日常運(yùn)行的費(fèi)用情況(如網(wǎng)絡(luò)設(shè)備折舊或線路租用費(fèi)等)和用戶使用網(wǎng)絡(luò)資源的情況來確定合理的收費(fèi)策略。網(wǎng)絡(luò)管理員還可規(guī)定用戶可使用的最大費(fèi)用，從而控制用戶過多占用和使用網(wǎng)絡(luò)資源，并通過對網(wǎng)絡(luò)資源進(jìn)行控制使未繳費(fèi)用戶不能繼續(xù)正常使用網(wǎng)絡(luò)資源。計(jì)費(fèi)管理記錄用戶使用網(wǎng)絡(luò)資源的情況并核收費(fèi)用，目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。隨著網(wǎng)絡(luò)技術(shù)突飛猛進(jìn)的發(fā)展，對網(wǎng)絡(luò)進(jìn)行嚴(yán)格有序的管理以最大限度地利用網(wǎng)絡(luò)資源，已成為網(wǎng)絡(luò)管理和運(yùn)行的關(guān)鍵。第三章計(jì)費(fèi)管理與安全管理國際標(biāo)準(zhǔn)化組織ISO將網(wǎng)絡(luò)管理的功能劃分為五個(gè)管理功能域:故障管理、計(jì)費(fèi)管理、配置管理、性能管理和安全管理。五是可以實(shí)現(xiàn)對指定用戶按流量大小計(jì)費(fèi)，還可以情況給予不同的費(fèi)率和不同的服務(wù)。(2)通過對測量數(shù)據(jù)在內(nèi)存的組織，實(shí)現(xiàn)測量數(shù)據(jù)按分鐘卸出，而時(shí)間粒度與RFC2722規(guī)定的測量方法相比，基于特定業(yè)務(wù)流的流量測量有4個(gè)特點(diǎn)。它包括規(guī)則庫、預(yù)處理中心、流匹配引擎、測量數(shù)據(jù)在內(nèi)存存特征：預(yù)處理中心是在測量前對庫規(guī)則進(jìn)行處理，在內(nèi)存固定位置形成匹配特征值；流匹配引擎用于進(jìn)行流匹配，給出流標(biāo)識(shí)或丟棄不匹配的包；測量數(shù)據(jù)在內(nèi)存存儲(chǔ)和卸出控制中心用于控制測量數(shù)據(jù)在內(nèi)存中存儲(chǔ)的位置和卸出的方式，它受2個(gè)定時(shí)器控制，一個(gè)是按秒的定時(shí)器，用于按秒的粒度記錄測量數(shù)據(jù)，一個(gè)是按分鐘的定時(shí)器，用于按分鐘粒度卸出測量數(shù)據(jù)。在測量過程中，規(guī)則庫保持不變，每個(gè)流狀態(tài)也保持不變。在測量前對規(guī)則進(jìn)行預(yù)處理，在內(nèi)存中固定位置形成流匹配關(guān)鍵字。日前，所有的路由器都支持這種實(shí)現(xiàn)方式。后者通過Tracert實(shí)現(xiàn)，可用于Interact上的大規(guī)模網(wǎng)絡(luò)測量，但當(dāng)網(wǎng)絡(luò)上安裝有防火墻軟件時(shí)，則無法進(jìn)行測量過程如下：首先得到網(wǎng)絡(luò)口地址分段，然后利用路IP地址，對某一網(wǎng)絡(luò)的所有口地址進(jìn)行路由追蹤，就會(huì)得到該網(wǎng)絡(luò)所有的路由器的Ⅲ地址及互聯(lián)關(guān)系，路由追蹤技術(shù)是基于下面的原理來實(shí)現(xiàn)的。被動(dòng)測量的優(yōu)點(diǎn)在于理論上它不產(chǎn)生多余流量，不會(huì)增加網(wǎng)絡(luò)負(fù)擔(dān)；其缺點(diǎn)在于被動(dòng)測量基本上是基于對單個(gè)設(shè)備的監(jiān)測，很難對網(wǎng)絡(luò)端到端的性能進(jìn)行分析，并且可能實(shí)時(shí)采集的數(shù)據(jù)量過大，另外還存在用戶數(shù)據(jù)泄漏等安全性和隱私問題。由于Internet上大多數(shù)數(shù)據(jù)傳輸是不加密的，因此通過被動(dòng)式tcpdpriv或其它類似的程序來緩解，tcpdpriv可以刪除或攪亂(可配置)截獲的數(shù)據(jù)包中的某些數(shù)據(jù)，如具體的傳輸信息。被動(dòng)式測量方法的含義是記錄和分析網(wǎng)絡(luò)的流量。Internet的健壯性和可靠性很大程度取決于ISP網(wǎng)絡(luò)有效可靠的路由，Internet路由行為的分析直接影響下一代網(wǎng)絡(luò)硬件、軟件和操作政策。另一種合作方式是主動(dòng)合作，如果要測量A至B路由的對稱性，從B到A和從A到B同樣需要進(jìn)行路由測量，需要B也要同樣主動(dòng)參加測量。如：ping用于估計(jì)主機(jī)A到主機(jī)B的Info，需要主機(jī)B響應(yīng)ICMPECHO的請求信息。但主動(dòng)測量給網(wǎng)絡(luò)增加了潛在的荷載負(fù)擔(dān)，特別是如果沒有仔細(xì)設(shè)計(jì)使得該方法產(chǎn)生的流量數(shù)最小，那么附加的流量會(huì)擾亂網(wǎng)絡(luò)，如：為了測量在口網(wǎng)絡(luò)云中瓶頸鏈路的帶寬，定期地向測試路徑發(fā)送巨大的TCP流量，那么由此產(chǎn)生的附加流量可能會(huì)產(chǎn)生Heisenberg效應(yīng)，即額外的流量可能會(huì)干擾網(wǎng)絡(luò)，并使結(jié)果分析產(chǎn)生偏差。主動(dòng)測量使用方便，比較適合端到端的網(wǎng)絡(luò)性能測量，對于需要關(guān)心的內(nèi)容只要在本地發(fā)送測試包觀察網(wǎng)絡(luò)的響應(yīng)即可。網(wǎng)絡(luò)流量測量的方法，按照測量的方式通常可分為主動(dòng)測量和被動(dòng)測量兩種．由于兩種方法實(shí)現(xiàn)方式的不同以及適用范圍不同，所以各有利弊。根據(jù)測量點(diǎn)的多少，分為單點(diǎn)測量與多點(diǎn)測量：根據(jù)被測量者知情與否，分為協(xié)作式測量與非協(xié)作式測量：根據(jù)測量所采用的協(xié)議，分為基于BGP協(xié)議的測量、基于TCP／IP協(xié)議的測量以及基于SNMP協(xié)議的測量：根據(jù)測量的內(nèi)容，分為拓?fù)錅y量與性能測量：按照測量的對象(或者叫做基準(zhǔn)((bases))，分為基于流，基于接口、基于鏈接和節(jié)點(diǎn)、基于節(jié)點(diǎn)對、基于路徑的測量。通過網(wǎng)絡(luò)應(yīng)用監(jiān)測，可以了解網(wǎng)絡(luò)上各種協(xié)議的使用情況，以及網(wǎng)絡(luò)應(yīng)用的使用情況，研究者可以據(jù)此研究新的協(xié)議與應(yīng)用，網(wǎng)絡(luò)提供者也可以據(jù)此更好的規(guī)劃網(wǎng)絡(luò)。比如，網(wǎng)絡(luò)管理者可以通過工具察看某一網(wǎng)段的負(fù)荷情況，等到某一網(wǎng)段的負(fù)荷過重時(shí)，人在web上瀏覽，那么在