Sniffer流量分析 破解网速太慢顽疾

    编者按：企业网速太慢，可能由很多原因造成的，软件设置不当、网络设备故障、感染病毒等，这成为众网管最头大的，如何才能破解这个顽疾？

    对出口流量进行分析
    锁定：90％都是HTTP流量
    告警：流量来自私网139端口
    问题：TCP连接请求进行不断的循环重传
    总结：路由环路、中毒机器

    各位做维护的同事经常会听到用户对网速太慢的抱怨，但是网速慢的原因有很多，比如软件设置不当，网络设备故障，物理链路问题，感染病毒等，而单单从用户的故障描述里面很难有进一步的发现，所以也许大家一时也不知道从何下手。

　　Sniffer是一个非常好的流量分析工具，利用它我们可以实际了解到当前网络中正在发生的具体流量，并且通过Sniffer的专家系统以及进一步对数据包的解码分析，我们可以很快的定位网络故障，确认网络带宽的瓶颈，在故障发生前及时消除网络隐患，这样能给我们日常的维护工作带来很大的方便，也使得我们的维护工作处于主动地位，不会再只有接到用户故障投诉后才能处理故障，在时间和效率上都不能很好的让用户满意。

    对出口流量进行分析

　　下面是借助Sniffer对我某地市分公司出口流量做的一个简单的流量分析，没有什么很深的技术含量，也并不需要太深的专业知识，希望能对大家日常的维护工作有一定启发。 分析目标：了解目前带宽实际利用率，检查有无网络隐患。
　　分析方法：
　　在核心交换机上做端口镜像，利用sniffer抓包。
　　测试地点：中心机房
　　抓包开始时间：5.17 10:20
　　抓包持续时间：16s
　　数据包个数：88865
　　平均带宽利用率：7％

　　1，首先我们了解一下网络中协议的分布情况，通过sniffer的Protocol Distribution功能可以直观的看到当前网络流量中协议分布图：

    
    从上面可以很明显看出，HTTP应用流量最大占63％，其次就是NetBios流量占35％。

　　了解协议分布情况以后，我们再找到网络中流量最大的主机，因为流量越大也就意味着对网络的影响也就越大，利用sniffer的Host Table的饼视图功能可以容易的找到流量最大的机器，如下图所示：

　
     
     可以看到219.72.238.88，219.72.237.201这两台主机在目前我们网络内部流量较大，分别占16.52%和15.97％。进一步利用HostTable功能的Outline视图，可以发现这两个地址流量的90％都是HTTP流量，如下图所示：

[1] [2] [3] [4] [5] 下一页

【责编:Zenghui】