流量镜像的定义
流量镜像(Traffic Mirror)功能可以将网络流量从某一云服务器的网卡镜像到其他指定的云服务器的网卡上,以便于应用到内容检查、监控分析、问题排查等场景。流量镜像主要是镜像并筛选出符合条件的流量,因此它可以在不影响网络性能的情况下,捕获和记录网络流量,帮助管理员诊断网络故障、检测网络攻击等。
如图所示,云主机通过镜像会话将符合筛选条件的流量复制到镜像目的,然后可以利用分析设备对这些流量进行分析和监控。
基本概念
流量镜像功能用于复制并监控网络中的通信流量,以下是流量镜像的基本概念:
- 镜像源:需要镜像网络流量的实例,例如弹性网卡;
- 镜像目标:接收镜像后流量的实例;
- 镜像会话:通过特定筛选条件,将网络流量从镜像源复制到镜像目的;
- 筛选条件:包含入方向规则和出方向规则,用来筛选在镜像会话中镜像的网络流量;
- 入方向规则和出方向规则:包含五元组信息和采集/不采集控制;
- 五元组:源网段、源端口、目的网段、目的端口和协议类型五个量组成的集合。
功能特性
筛选条件管理
创建/编辑/删除筛选条件,添加/编辑/删除筛选条件下的规则。
镜像会话管理
创建/编辑/删除镜像会话,管理会话的镜像源/目的/启停。开启会话后,完成指定条件流量的镜像和转发。
应用场景
- 安全场景:网络入侵检测
通过设置一定筛选条件,筛选出符合条件的流量,将复制到镜像目的中的网络流量发送到指定的监控设备上进行分析和监控。通过实时监控网络流量,及时发现和应对潜在的网络攻击行为。
例如,通过分析流量镜像数据来检测是否存在异常流量或异常行为,如大量的连接尝试、未经授权的访问、恶意软件传播等。 - 审计场景:金融或政府
在审计方面,流量镜像功能可以帮助您分析和监控网络中的数据流量。例如,可以透明地将实例流量镜像到统一审计平台进行分析,从而更好地了解网络的使用情况和安全状况,以满足审计需求。 - 网络运维场景:网络问题定位
利用流量镜像功能来检查网络问题,运维人员可以直接查看网络传输的内容,例如分析TCP的重传,来排查网络问题,而无需进入虚拟机内部抓取报文。这样可以大大提高排查问题的效率和准确性。
