網路工程師經常發現,在分析 DDoS 攻擊或解決其他流量異常問題時,他們需要更好地瞭解網路流量和營運情況。這些工程師通常擁有一些關於網路流量的高級指標,但他們很難收集有關特定流量的基本資訊來澄清問題。為了解決這個問題,Cloudflare 一直在試驗一款名為 Magic Network Monitoring 的雲端網路流量監控產品,來為客戶提供對其網路上所有流量的端對端可見度。
今天,Cloudflare 很高興地宣布,Magic Network Monitoring(以前稱為「流量型監控」)現已正式上市,可供所有企業客戶使用。去年,Cloudflare 工程團隊大幅改進了 Magic Network Monitoring;我們很高興能夠提供一款網路服務產品,來幫助我們的客戶加快威脅識別、減少漏洞並提升網路安全性。
Magic Network Monitoring 會自動為所有 Magic Transit 和 Magic WAN 企業客戶啟用。該產品位於 Cloudflare 儀表板的帳戶級別,可以透過導覽至「分析與記錄」>「Magic Monitoring」來開啟。Magic Network Monitoring 採用自助式上線流程,所有具有存取權限的企業客戶都可以立即開始設定該產品。
任何沒有 Magic Transit 或 Magic WAN 且有興趣測試 Magic Network Monitoring 的企業客戶都可以使用免費版(對流量有一些限制),只需向其 Cloudflare 客戶團隊提交申請或填寫此表格與專家交談即可。
什麼是 Magic Network Monitoring?
Magic Network Monitoring 是一款雲端網路流量監控器。網路流量是指在使用相同的網際網路通訊協定和一組連接埠的一個來源與一個目的地之間的任何封包流。客戶可以將網路流量報告從其路由器(或任何其他網路流量產生器)傳送至 Cloudflare Anycast 網路上的公共端點,即使流量最初並未通過 Cloudflare 網路。Cloudflare 會分析網路流量資料,然後透過分析儀表板讓客戶瞭解關鍵網路流量指標。這些指標包括:一段時間內的流量(以位元或封包為單位)、來源 IP、目的地 IP、連接埠、流量通訊協定和路由器 IP。客戶還可以設定警示來識別 DDoS 攻擊和任何其他異常流量活動。
企業 DDoS 攻擊類型偵測
Magic Transit On Demand (MTOD) 客戶在使用 Magic Network Monitoring 時會體驗到顯著的流量可見度優勢。Magic Transit 是一款網路安全解決方案,可從每個 Cloudflare 資料中心為內部部署、雲端託管及混合網路提供 DDoS 保護和流量加速。當偵測到 DDoS 攻擊時,Magic Transit On Demand 客戶可以啟動 Magic Transit 來獲得保護。
總的來說,我們注意到一些 MTOD 客戶因為缺乏網路可見度工具,而無法快速識別 DDoS 攻擊並採取適當的緩解措施。現在,MTOD 客戶可以使用 Magic Network Monitoring 來分析網路資料,並在偵測到 DDoS 攻擊時收到警示。
偵測到 DDoS 攻擊後,Magic Network Monitoring 客戶可以選擇手動或自動啟用 Magic Transit 來緩解任何 DDoS 攻擊。
企業網路監控
Cloudflare 的 Magic WAN 和 Cloudflare One 客戶也可以從使用 Magic Network Monitoring 中受益。如今,這些客戶可以極好地瞭解他們透過 Cloudflare 網路傳送的流量,但有時他們可能無法瞭解不是透過 Cloudflare 傳送的流量。這可能包括保留在本地網路上的流量或在雲端環境之間傳送的網路流量。Magic WAN 和 Cloudflare One 客戶可以將 Magic Network Monitoring 新增至其產品解決方案套件中,以針對其網路上的所有流量建立端對端網路可見度。
網路流量和網路流量採樣深度剖析
Magic Network Monitoring 透過擷取和分析網路流量資料,讓客戶更瞭解其網路流量。
當路由器(或其他網路流量產生裝置)收集輸入和/或輸出封包資料的統計樣本時,這個過程就開始了。這些樣本是透過檢查每個 X 個封包中的 1 個來收集的,其中 X 是路由器上設定的採樣率。一般採樣率範圍為每 1,000 個封包 1 個到每 4,000 個封包 1 個,具體取決於流量數量、流量多樣性以及路由器硬體的運算/記憶體能力。您可以在 Cloudflare 的 MNM 開發人員文件中詳細瞭解建議的網路流量採樣率。
採樣資料會封裝為網路流量資料的兩種產業標準格式之一:NetFlow 或 sFlow。在 NetFlow 中,採樣的封包資料會依不同的封包特性(例如來源/目的地 IP、連接埠和通訊協定)進行分組。每組採樣的封包資料還包括流量估計。在 sFlow 中,會選擇整個封包標頭作為代表性樣本,並且不會對資料進行任何匯總。因此,sFlow 是一種比 NetFlow 資料更豐富的資料格式,並且包含更多有關網路流量的詳細資訊。收集 NetFlow 或 sFlow 資料樣本後,會將它們傳送到 Magic Network Monitoring 進行分析並提供警示。
為什麼簡單的隨機採樣不適用於 Magic Network Monitoring
自一年前搶先體驗版發佈以來,Magic Network Monitoring 取得了長足的進步。特別是,Cloudflare 工程團隊投入了大量時間來提高 MNM 中流量估計的準確性。在 Magic Network Monitoring 的搶先體驗版中,客戶出人意料地報告他們的網路流量估計值過高,與預期值不符。
Magic Network Monitoring 會對其收到的 NetFlow 或 sFlow 資料執行自己的採樣,因此可以有效地擴展和管理透過 Cloudflare 全球網路擷取的資料。提高流量估計的準確性比預期更困難,因為 MNM 解析的 NetFlow 或 sFlow 資料已經建立在採樣的封包資料的基礎上。這會在產品分析中引入多個不同的資料採樣層。
第一版 Magic Network Monitoring 使用了隨機採樣,即選取具有相同時間戳記的網路流量資料的隨機子集來表示該時間點的流量。網路流量資料的一個特性是某些樣本比其他樣本更重要且代表更大的網路流量。為了考慮到這種重要性,我們可以根據每個樣本所代表的流量為其關聯一個權數。網路流量資料權數始終為正數,並遵循長尾分佈。這些資料特性導致 MNM 的隨機採樣錯誤地估計了客戶網路的流量。當隨機選取長尾中的外圍資料樣本來代表該時間點的所有流量時,客戶會在流量分析中看到虛假峰值。
使用 VarOpt 蓄水池採樣提高準確性
為了解決這個問題,Cloudflare 工程團隊實作了一種替代性蓄水池採樣技術,稱為 VarOpt。VarOpt 會在資料流長度未知時從資料流中收集樣本(這是一個用於分析傳入網路流量資料的理想應用程式)。在 MNM 實作 VarOpt 時,我們從一個固定大小的空蓄水池開始,其中填充了網路流量資料的樣本。當蓄水池已滿,並且仍有新的網路流量資料傳入時,舊樣本會從蓄水池中隨機捨棄,並用新樣本取代。觀察到一定數量的樣本後,我們會計算蓄水池中所有加權樣本的流量,即該時間點客戶網路流量的估計流量。最後,清空蓄水池,並用下一組最新的網路流量樣本填充蓄水池來重新啟動 VarOpt 迴圈。
新的 VarOpt 採樣方法顯著提高了 Magic Network Monitoring 中流量估計的準確性,並解決了我們客戶的問題。這些採樣改進為產品正式上市鋪平了道路,我們很高興能夠為所有人提供準確的網路流量分析。
開發人員文件和 Discord 社群
詳細的 Magic Network Monitoring 開發人員文件不僅說明了產品的功能,還為新客戶概述了逐步設定指南。當您使用 Magic Network Monitoring 文件時,歡迎提供意見反應,只需按一下「開發人員文件」右上角的「提供意見反應」按鈕即可。
我們還在 Cloudflare 的 Discord 社群中,圍繞偵錯設定問題、測試新功能和提供產品意見反應建立了一個頻道。您可以點擊此連結來加入 Cloudflare Discord 伺服器。
免費版
所有企業方案客戶均可向其 Cloudflare 客戶團隊申請使用 Magic Network Monitoring 免費版。免費版旨在協助企業方案客戶在購買 Magic Transit、Magic WAN 或 Cloudflare One 之前快速測試和評估 Magic Network Monitoring。企業客戶可以按照產品文件中的逐步上線指南自行完全設定 Magic Network Monitoring。免費版對可處理的流量數量有一些限制,產品文件中對此進行了進一步概述。
Magic Network Monitoring 的免費版也可透過封閉測試版提供給所有免費方案、Pro 方案和 Business 方案的 Cloudflare 客戶。任何人都可以透過閱讀免費版文件並填寫此表格來申請使用免費版。加入 Cloudflare 的 Discord 伺服器並在 Magic Network Monitoring Discord 頻道中傳送訊息的任何人都會獲得優先存取權。
可以立即採取的後續步驟
Magic Network Monitoring 已全面上市,所有 Magic Transit 和 Magic WAN 客戶現已自動獲得該產品的存取權限。您可以前往 Cloudflare 儀表板的帳戶級別,然後選擇「分析與記錄」>「Magic Monitoring」來導覽至該產品。
如果您是沒有 Magic Transit 或 Magic WAN 的企業客戶,並且希望使用 Magic Network Monitoring 來提高流量可見度,則可以立即與 MNM 專家交談。
如果您有興趣使用 Magic Transit 和 Magic Network Monitoring 進行 DDoS 防護,則可以申請 Magic Transit 示範。如果您想一起使用 Magic WAN 和 Magic Network Monitoring 來建立端對端網路流量可見度,則可以與 Magic WAN 專家交談。