网络版杀毒软件升级设置不当造成网络拥塞现象分析

天空之城 · 发表于 2010-7-16 16:11:06

本帖最后由天空之城于 2010-8-16 15:51 编辑

网络版杀毒软件升级设置不当造成网络拥塞现象分析

某区级部门经常存在网络异常缓慢的现象，由于需要同市局的服务器进行数据传输，所以这一情况严重的影响了办公的效率，信息中心网络管理人员也采用了多种方法进行检测，但都没能找到造成这一现象的主要原因。

无奈之下，该部门通过市局信息中心找到我们，希望我们能帮助其这一问题，使业务应用尽早的恢复。接到市局信息中心的电话以后，赶到故障现场，对该部门的网络情况进行了相应的了解，网络拓扑情况大致如下：

通过对网络拓扑的了解，在核心交换机上做好端口镜像，使用科来进行抓包分析。

抓包之后就发现网络内的流量相当大，每秒钟的数据流量远远超出了实际的出口带宽，达到了42.984Mbps。

由于到市局的出口带宽为2M，考虑到还有一定的上行流量带宽，所以将网络档案中的网络带宽设置为4M。

查看IP端点视图，发现流量最大的主机为72.20.16.13等几台主机。

通过了解，这三台主机全部都为市局的服务器，其中16.13流量最大，达到了138.829MB。

查看其协议流量情况：

发现绝大为TCP-OTHER协议所占用，再查看其TCP会话情况：

发现大部分都是使用的1977端口，这是RI_SING杀毒软件网络版用来升级的端口，和市局的信息中心人员沟通后也证实了这一事实。

再查看TCP-OTHER协议的诊断信息：

可以看到诊断事件多发生在TCP慢应答上，说明网络内的拥塞情况比较严重。
查看数据包视图，发现传输的内容多为1518字节的大包。

正是由于杀毒软件升级带来的网络流量增多，所以才给正常的业务应用带来了相当大的影响。考虑到病毒库升级的重要性以及业务办理的关键性，在同市局网络信息中心管理人员进行沟通后，建议在杀毒软件的服务器端将客户端自动升级的时间定在中午休息时间，这样便不会对业务应用造成多大的影响。

经过设置以后，该部门的网络拥塞情况得到了极大的缓解，正常的业务应用系统也可以顺畅的运行了。

虽然这只是个很简单的案例，但是如果没有使用网络分析软件来进行分析的话，采用普通的方法是很难判断出网络中传输的数据是属于何种应用的，可以说，网络分析为网络管理人员了解网络的应用情况提供了极大的帮助。

牛二 · 发表于 2010-7-16 16:50:52

确实，杀软的升级问题导致网络缓慢案例比较多，多半是由于时间设置不当，导致周期性的网络缓慢。

saibei · 发表于 2010-7-16 17:10:11

好教材学习

snowhite · 发表于 2010-7-16 19:11:27

本帖最后由 snowhite 于 2010-7-16 19:17 编辑

中午升级,这些机器就不能关机,不利于低碳生活.
******网络版可以设置从局域网的一个升级代理进行升级的.只要那台机器升级了,其它机器就可以从那里升级,不必从管理中心.
我们也是这个软件,带宽也不大,没有发生这种拥堵现象,估计在客户端升级策略上设置成了定时升级,大家同时发起升级请求造成的.设置成间隔多少分钟自动升级,客户端就不会同时请求.

天空之城 · 发表于 2010-7-16 20:14:34

中午升级,这些机器就不能关机,不利于低碳生活.
******网络版可以设置从局域网的一个升级代理进行升级的.只要那台机器升级了,其它机器就可以从那里升级,不必从管理中心.
我们也是这个软件,带宽也不大,没有发生这种拥 ...
snowhite 发表于 2010-7-16 19:11

谢谢指教，对这个网络版的软件不是很熟悉。ZF部门没有办法，他要时不时的检查每台机器的升级情况，不知道在局域网内设置升级代理能不能实现这个功能？

另外低碳在那儿只是一个口号而已。

reedyan · 发表于 2010-7-19 11:56:06

学习了
---------------------------------------------------

sam.chen · 发表于 2010-7-20 13:45:19

学习了，支持下！

善变的心 · 发表于 2010-7-30 10:05:01

学习中。。。。。。。。。。。。。。。。。。。

只是一个神话 · 发表于 2010-7-30 11:44:51

分析的很不错，顶起！初期架设的时候没考虑周全，升级策略设置的不好，不然可以避免的！

xiaoshazi · 发表于 2010-7-30 22:10:16

能否限制服务器的连接数呢？????

zhiye · 发表于 2010-8-24 08:04:07

学习了
---------------------------------------------------
顶下哈哈

shrfish · 发表于 2010-8-25 08:35:18

好案例，学习了~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

bthlon · 发表于 2010-8-25 16:45:06

升级和报告应该不是同一个端口
建议在内网添加一台升级服务器

best坏小子 · 发表于 2010-8-25 19:45:36

好文收下了. ~

ganmao · 发表于 2010-8-26 09:32:43

学习了，不错的案例。。。。。。。

redhat9i · 发表于 2010-8-26 16:57:17

顶4楼，应该在他们这个部门设置一个升级代理，或者将升级时间错开，比如每50台电脑为一组同时更新

hailingege · 发表于 2010-8-27 11:32:23

可以使用某一台主机进行升级，然后向其他主机提供升级包也是个不错的选择哈

tiga · 发表于 2010-8-27 11:58:00

确实是不错的网站，以后要多来交流

coldfly · 发表于 2010-8-27 21:23:40

通过自行设置升级时间错开并发升级

菜鸟人飞 · 发表于 2010-8-27 22:31:37

RI_SING升级的时候，流量这么大啊。

snow2sun · 发表于 2010-8-28 12:41:35

既然局域网内机器数量大，为什么不在局域网内建立一个之中心升级服务器这样一了百了的方法？修改时间治标不治本

nit06wl · 发表于 2010-9-2 08:27:31

中午升级,这些机器就不能关机,不利于低碳生活.
******网络版可以设置从局域网的一个升级代理进行升级的.只要那台机器升级了,其它机器就可以从那里升级,不必从管理中心.
我们也是这个软件,带宽也不大,没有发生这种拥 ...
snowhite 发表于 2010-7-16 19:11

这个做法很不错！WSUS服务器也可采用类似的方法来做！

itsmeyouknow · 发表于 2010-9-2 13:10:46

网络版杀毒软件设计的初衷就包括了降低客户端升级所带来的网络流量问题

lingping · 发表于 2010-9-3 13:58:29

的确，设立利用中心服务器来升级客户端杀毒软件才是理想的解决之道。

jony6 · 发表于 2010-9-6 12:44:56

改变升级时间~~确实治标不治本!!~~~
内网搞个病毒服务器才是王道!!~~

hecky · 发表于 2010-9-9 15:24:01

不错不错，学习了。

wolaiyee · 发表于 2010-9-14 20:03:44

顶好贴不过他们的2M是不是小点啊

邵小青 · 发表于 2010-10-16 17:19:59

学习了，顶

愿意说话 · 发表于 2010-11-8 12:30:12

不错是个好贴，如果不回复就太没有人性了

mfkwwgi · 发表于 2010-11-26 09:23:51

好文。

网络版杀毒软件升级设置不当造成网络拥塞现象分析

本帖子中包含更多资源

评分

评分