如何查找异常流量占用的主机

lbzxy · 发表于 2008-1-24 15:57:22

如何查找异常流量占用的主机
一、问题的提出
异常的流量占用，是什么意思呢？流量占用，顾名思义，指的是当前网络的通讯流量对网络总带宽的占用情况。当网络中某个节点占用了较多流量的话，那势必会耗费网络带宽，影响网络性能，对网络的使用造成一定的影响。那么，异常的流量占用，就指的是当网络中某个设备或节点流量占用较大但又不能证明其具体的应用时，我们称之为异常的流量占用，那怎样查找异常流量占用的主机呢？
二、查找异常流量占用的主机
当发现网络带宽占用较大的时候，我们就需要对每个节点的流量占用情况进行分析，对异常流量占用主机的查找，我们可以借助科来网络分析系统，就能够快速、准确的查找出来。
打开工程文件，我们通过概要统计视图的网络流量（图1）可以看到，网络总流量在2小时以内达到了11.467GB，而通过对数据包大小分布（图2）的进一步分析，我们看出，1024—1517字节的数据包以及大于等于1518字节的数据包流量分别达到了5.689GB和4.068GB，根据平常的经验，我们可以判断出网络的流量存在异常。但具体是哪些主机或哪些应用导致的呢，我们接着往下分析。

（图1 网络流量）

（图2 数据包大小分布）

当对网络总的流量情况有了大概的了解后，我们就需要进行进一步的分析，以查找出是哪些主机或应用导致了网络的流量异常。打开端点视图（图3），我们以IP类型显示，并且按总流量大小进行排序，从这里可以看到，10.10.1.40、10.44.111.72以及10.44.111.248这3台主机的流量都非常大，是值得重点分析的。所以，我们就需要单独定位每一台主机进行定点分析。在对10.44.111.72以及10.44.111.248的分析后得知，这两台主机在是在进行BT下载从而导致流量较大（这里我们就不再详细分析，有兴趣的朋友可以参考这个帖子：（http://www.csna.cn/forum.php?mod ... &extra=page%3D1）。现在，我们定位到10.10.1.40进行具体的分析。

（图3 端点视图）

首先，我们定位10.10.1.40这个节点，查看其通讯的协议分布（图4），从该图中可以清楚的看到，该主机TCP通讯的流量达到了4.548GB，而Other流量则达到了4.530GB，占到了总流量的99.607%，至此，我们就基本可以判断该主机存在异常的流量占用情况。而在通过对会话视图和矩阵视图的分析后得知，该主机可能是在内网中进行大文件的下载从而导致异常的流量占用，耗费网络带宽，使网络性能下降。

（图4 协议分布）

三、总结
异常的流量占用，不仅耗费网络带宽，而且会导致网络的整体性能严重下降，所以，当网络性能下降、网络流量异常的时候，我们就可以通过科来网络分析系统抓包分析，从而快速的找出导致网络性能下降的“罪魁祸首”，让我们的网络管理更加高效。

牛人 · 发表于 2008-1-25 09:38:52

谢谢楼主分享！
想请教一个问题：协议分布中的Other是什么意思呢？能否解释下？

lbzxy · 发表于 2008-1-25 11:36:11

因为每一种分析产品，都不可能识别所有的协议，所以将不能识别的协议通称为Other；
我们之所以说异常的流量占用，是因为Other协议占用的流量较大，这是由于系统不能识别具体是哪种应用所导致的。

twoeyes · 发表于 2008-1-26 20:05:42

楼主分析的透切啊,向你致敬!

yinke · 发表于 2008-1-30 15:39:55

楼主分析的透切啊,厉害

564631594aa · 发表于 2008-6-13 15:03:05

楼主告诉了一个困惑的问题。。。。。谢谢了！

苹果核 · 发表于 2008-6-16 21:39:10

那下一步应该怎么解决呀！去查看他的电脑在下载什么东西吗？