钱 幸,王思谨,李基瑞
(国网浙江宁波市奉化区供电公司,浙江 宁波 315100)
网络使用TCP/IP 协议进行连通,通过传输层协议保证数据的可靠传输。TCP/IP 传输层最主要的协议是TCP 和UDP[1-2]。TCP 通过累计确认来判断消息传输成功或失败,并以此调整传输行为来确保通信数据的完整性;UDP 是一种不接受确认和流控制的简单协议。这两种传输协议具有不同的特征,并在网络中承担不同的服务。目前,由于供电公司开发了很多维护电力稳定运行的配套系统,借助网络实现实时监测电力状态,一旦网络不稳定,会给电网系统运行及电力安全管控造成巨大影响,因此供电公司十分重视系统内网络的稳定性与安全性[3]。
为此,本文研发一款基于TCP/IP 网络连接在线监测系统,实时监测网络健康状况,并图像展示,同时实现异常网站访问的自动报警功能。
结合供电所分布的拓扑结构图,定时监测整体网络的带宽、延时和网络波动,生成流量拓扑图,以不同颜色表示网络健康状况,拥堵的显示为红色,畅通的显示为绿色,繁忙的显示为橙色。通过点击相应线路,可显示具体数据,如线路总流量、线路广播浏览及线路丢包率等信息。
目前,供电所的局大楼内网是两层交换机架构的,所以如果其中有一台设备广播大数据包,则整个局域网就会瘫痪,因此需要及时地发现异常广播的设备。本文设计的系统可通过检测交换机异常数据,判断并定位异常设备。首先通过Python 技术抓取交换机数据,当检测到的ARP 数据包远远大于实际发送量,则判断该设备为异常设备,并进行实时警报。此外,在发现局域网中有某台设备一直广播无用的数据包时,系统能够及时的报警并提供广播的IP 地址,避免整体网络陷入瘫痪,系统同时还具有连通状态、IP 地址冲突检测及ARP 攻击检测等功能,从多方面展示网络的健康程度,如图1 所示。
图1 网络实时健康度监测
随着智能化的升级,越来越多的自助终端设备在供电公司投入使用。但同时现在的网络病毒无处不在,扩散性越来越强,一旦某一台电脑中毒,就会导致整个局域网瘫痪。因此需要对局域网内的每一台自助终端进行监测是否访问异常网站。
系统通过抓取交换机中数据包镜像,分析数据包的源、末地址,从而达到监控电脑IP 的访问目标地址的目的,具体实现如下两个功能。
(1)学习:通过一段时间来学习并进行数据统计,将内网终端频繁访问的目标地址设为白名单。如果电脑访问白名单列表中的IP,则不警告。
(2)报警:如果来自内网的IP,访问了白名单列表以外的地址,则给管理员报警,并实时展示,如图2 所示。
图2 可疑主机IP 监控及警报
系统实施前,当网络堵塞时,需要到交换机上去查看所有链路的流量情况,查出哪条链路出现堵塞,并且不能找到链路堵塞的原因。因为营业厅是对外开放的,所以营业厅是最容易被攻击的。此外,当系统被攻击后,并没有实时的报警机制,需要很长的时间才能被发现,严重影响了系统的安全性。
系统实施后,系统能够实时的反应路由拓扑中所有链路的流量情况,用不同的颜色标识出来,直观的了解到实时的流量带宽状态,及时发现有可能会堵塞的链路,主动排查。当出现广播风暴时,系统能够及时的监测出是哪个终端发出广播包,及时的发现问题。此外,系统会实时的监测营业厅的TCP 包,当营业厅的终端访问不该访问的地址时,及时地发出警报,及时地发现有可能的攻击。
本文设计并开发了一款基于TCP/IP 的网络连接在线监测系统,通过实时考察网络运行时的各项质量指标,能够迅速定位网络故障所在,并实时展示与警报,便于工作人员及时发现问题,进而提高网络的安全性和稳定性,充分发挥网络效能。