高校校园网络流量分析及流控策略

2017-06-15李启东王超超

网络安全技术与应用 2017年6期

◆安航李启东王超超

高校校园网络流量分析及流控策略

◆安航李启东王超超

（西南石油大学（成都）深海星网络实验室四川 610500）

随着网络技术迅猛发展，高校校园网应用随之迅猛的增加，校园网应用流量也日趋复杂，加强流量的分析和控制策略研究显得尤为重要。本文以某高校校园网为实际环境，开展了流量实时监测和数据收集，对存在的异常流量进行了深入分析研究，提出了对应的解决问题的方法。

网络；流量；TCP；安全

0 引言

近年来，随着互联网各种应用技术深入的推广，导致网络流量的持续增加，给现存的网络带来了超负荷的压力，严重时直接造成整个网络的瘫痪。特别是当前网络安全形势严峻，而国内高校校园网是网络安全高度关注的领域，病毒、攻击、泛洪等对校园网正常通信造成相当大的威胁，使得对高校校园网流量分析研究成为网络安全管理和研究的关注点之一。

虽然目前对互联网网络流量分析研究较多，但是对高校校园网流量的研究却较少。高校校园网是互联网中比较特殊的组成部分，从网络技术层面上讲往往也具有比较复杂的网络结构，尤其是随着流媒体技术、p2p技术等迅猛推广，巨大的数据流量直接冲击着校园网络的安全。

另外，随着网络病毒的种类不断增加，攻击手段越来越多，同时，校园网应用多元化使得校园网管理十分困难。如何保证校园网安全运行，防止黑客/病毒侵害，清除网络安全隐患和预防网络拥塞显得十分重要。我们以某校校园网网络实际环境为研究对象，进行了流量采集、分析、归纳和研究，获得对高校校园网络环境下实际的网络流量特征的再认识。

1 数据的采集与分析

经过对某校校园网流量的多次采集和分析，我们发现了如下问题。

1.1网络TCP包乱序、重传现象明显

通过对某校校园网流量的多次采集分析发现TCP乱序、重传包约占了总的校园网流量的4.3%，而这其中TCP乱序包约占了总流量的2.2%，重传包约占了总流量的2.1%。根据测试数据分析，如图1所示，这些重传数据主要由3个部分组成，分别是TCP Retransmission、TCP Fast Retransmission、TCP Spurious Retransmission。这2.1%在数值上较小，但从网络流量来看却是很大的一部分。尤其在当前各高校校园网普遍存在网络带宽资源非常有限的情况下，这对网络带宽和网络资源利用率无疑会产生很大的影响。

图1 网络TCP现象图

1.2安全隐患

网络信息安全隐患一直是互联网中存在且无法根除的问题。在实际工作中，由于网络安全问题造成的工作、学习上的阻碍，甚至是经济损失的案例多不胜数。校园网由于存在用户量大、应用多元化等特点，使得校园网安全防护尤其困难。如图2所示，通过对该校校园网流量实时监测记录发现该校校园网存在着诸多攻击痕迹（非正常访问流量）。

图2 校园网流量实时监测记录

如图3所示，我们发现网路中存在着大量客户端向服务器端发起TCP请求的报文，但服务器端未响应。进一步分析发现（如图 4）这些请求报文基本是TCP三次握手请求报文，因此我们初步判定该校校园网中存在大量客户端向服务器端请求连接但得不到服务器端响应的现象。

图3TCP连接无效请求

图4 TCP三次握手请求报文

2 问题分析及改进措施

2.1网络TCP包乱序、重传现象明显

（1）问题分析

TCP Retransmission：TCP协议通过重传(retransmission)来实现TCP片段传输的可靠性。若RTT（往返时间）过长，发送方在一个RTO（重传计时器）时间内收不到接收方的ACK确认包，发送方便会判定之前发送的TCP片段丢失，从而进行TCP片段重传，直到该片段被正确接收。经数据统计，该校校园网中TCP Retransmission报文约占了总流量的1.5%。

TCP Fast Retransmission：当网络有轻微拥塞(少量丢包)或校验码不对(单个丢包)时，这种情况通常会出现后面的包能够正常到达接收方，但是接收方发现其Seq号比期望的值大，此时接收方就会发送Dup Ack报文给发送方请求重传，当发送方收到三个或以上的Dup Ack报文时便会启用快速重传。经数据统计，该校校园网中TCP Fast Retransmission报文约占了总流量的0.1%。

TCP Spurious Retransmission：指发送端根据RTT估算出的RTO计算超时了，但实际上只是RTT发生了突变，进而引起了协议栈的一系列行为，而这些行为不是最优的，即发送端认为超时了，但实际上没有超时。这意味着即使此时接收端已经接收到了相应的TCP报文，并且已经进行了确认，但是发送方由于网络延迟或丢包等原因没有收到对应的ACK确认包，仍进行了重传。经数据统计，该校校园网中TCP Spurious Retransmission报文约占了总流量的0.5%。

我们通过分析发现该校校园网中除了TCP重传现象较严重外，TCP乱序现象也较明显。因此，我们初步判定该校校园网存在拥塞严重、延时大、不稳定等问题。通过流量汇总信息我们发现，该校某设备一天的吞吐量达到了2~3万GB，然而这还不是核心交换机，可想而知核心交换机承受的压力会更大，因此我们推测网络拥塞的原因主要是网络流量过于巨大。

（2）改进措施

从硬件方面我们可以更换或者升级校园网硬件设备，采用更好的传输介质、增加带宽，使之能够承受现有校园网络流量的压力。

由于网络拥塞现象明显，严重时可能会使网络中关键业务无法正常进行。因此我们可以进行流控策略，在关键节点过滤掉一些无用的流量。同时部署Qos，使相关重要业务流量优先通过，并丢弃一些次要流量。

2.2安全隐患

2.2.1问题分析

造成网络安全漏洞的原因有很多，我们主要从软件因素、硬件因素、人为因素、其他因素四个方面进行分析。

（1）软件因素

软件上的漏洞我们可以分为研发漏洞、逻辑缺陷、环境缺陷、安全策略等。

例如，SQL注入就属于研发漏洞，它是由于程序中对用户输入检查不严格，用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据。XXS也属于研发漏洞，它指恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页时，嵌入Web页面的html代码会被执行，从而达到恶意用户的特殊目的，XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。

（2）硬件因素

由于高校经费等原因，网络安全设备通常较为单一，只是简单使用防火墙等简单安全设备，同时学校网络安全技术专业性不如企业网络安全技术专业性强，使得校园网络安全防护较薄弱。甚至为了省事，某些机构更倾向于购买设备，而软件方面防护不足，造成了安全投入大但效果不是很好。

（3）人为因素

随着安全技术不断提高，黑客攻击手段、病毒潜藏能力也不断提高，而高校相对于企业而言由于相关设备较为落后，相关技术较为薄弱，部分老师、学生对网络安全也不够重视，在个人PC以及教学PC上使用较为陈旧的杀毒软件，使得许多病毒有能力潜伏下来而不被发现。由于学生U盘中毒后在不同PC上使用，加速了病毒的扩散。由于相关人员的责任意识薄弱，导致信息泄露，外部人员入侵校园网盗取学生资料，查看学生档案等问题也时常发生。

（4）其他因素

审批流程复杂、安全部署效率低、安全人手不足、专业安全人员十分稀缺、投入很难保障、可见性很不明显、缺乏好用的安全巡查工具等也是造成校园网络安全隐患的重要因素。

2.2.2改进措施

（1）各程序开发者对程序的审核要严格，发现漏洞及不安全因素要及时解决更新。

（2）在安全信息系统建设、升级时，通过等级测评进行安全需求分析，确定系统的特殊安全需求。在运维过程中，定期委托相关测评机构开展等级评测，测试是否满足相应信息安全要求，以对校园网络安全状况进行全面掌控。

（3）对高校各网站及应用使用较安全的加密方式，同时不允许设置弱密码，尽量不使用明文密码。使用第三方的安全⼯具/服务。

（4）发现系统漏洞时及时和开发⼈员/第三⽅应⽤提供商进行沟通，尽快修复漏洞；使用⼀些知名的安全工具进行渗透测试；建立完善的漏洞负责人制度；使用较好的第三方的检测系统、防护设备、软件等。

（5）简化审批流程，加强对网络安全人员的培养，增加校园网资金投入。