艾体宝干货 | IOTA流量分析秘籍第一招：网络基线管理

基础知识：

网络基线（Network baselining）：是指对网络性能进行实时测量和评估的过程。其目的是通过测试和报告物理连接性、正常网络利用率、协议使用情况、峰值网络利用率和平均吞吐量等指标，提供一个网络基线。这个基线可以帮助网络管理员识别和解决网络中的问题，如速度问题等。

对于企业来说，及早识别和应对潜在威胁至关重要。有时，网络的异常行为表明需要进行调查。在根本原因分析过程中，你可能会看到一些流量，如看起来可疑的高带宽模式，但你不知道这是正常行为还是攻击模式。

此时，网络基线就开始发挥它的作用。通过网络基线，你可以在网络正常情况下捕获一段时间内的网络流量。只有知道基线，才能验证是否存在异常。在基线法中，我们定义了通信网络的特征曲线。这些配置文件基于使用 IOTA 网络流量捕获和分析解决方案收集的网络流量指标。

一、网络基线管理面临的挑战

1、传统捕获方法的缺陷

1）速度：传统的捕获网络流量的方法，例如使用Wireshark的笔记本电脑等旧版硬件和软件，由于需要收集网络中所有特定流量模式的时间过长，实际上并不适合进行网络基线管理。流量的巨大体量和对合适接口的需求进一步使过程变得复杂。

2）捕获性能：此外，在收集用于网络基线管理的流量时，捕获性能是一个关键挑战。旧版工具和方法通常难以应对高速和大容量的网络流量，导致数据包丢失、不完整的捕获和不可靠的数据。这会显著影响基线的准确性和完整性，导致误报或漏报问题。

一旦捕获数据后，需要高效地进行分析。带有仪表板的图形界面可以让你快速概览，并深入查看具体的流量。

二、使用IOTA进行网络基线管理

1、基线管理的前提条件

在开始网络基线管理之前，必须决定是否要对整个网络、特定终端或特定应用程序进行基线管理。还需要定义基线管理的时间框架。正确的时间框架并没有统一标准，这取决于你的应用程序。你需要捕获网络中的每一种可能情况。因此，如果你的网络中有持续的流量，例如网页和电子邮件流量、VoIP（网络电话）和文件服务器访问流量，以及每周的备份任务，则需要捕获整个星期的流量，以便观察网络中的所有模式。

2、流量捕获

下一步，你需要确定捕获流量的位置。IOTA的放置位置取决于你要进行的基线管理类型。如果你只想对网络中的某个客户端或服务器进行基线管理，可以将IOTA直接放置在交换机和客户端或服务器之间。

你可以在中央交换机处捕获整个网络的流量，或者使用来自VLAN的SPAN端口将流量导向IOTA。你还可以将IOTA放置在交换机和WAN路由器之间，以对WAN流量进行基线管理。

图 1：IOTA 串联在客户端和交换机之间

3、基于 IP 的流量和协议使用情况