作为企业的网络管理员面临着诸多挑战:局域网异常流量、BT下载、ARP欺骗、非法浏览……那么这一切都是谁干的呢?灵活应用网络监控软件就可以帮助我们找到造成这一切的罪魁祸首。下面我们以“科来网络分析软件”(下文简称科来)为例进行实例演示操作。
1、谁占用了大量带宽?
需求:
速度是企业局域网的一个重要指标,企业网管经常遭遇局域网速度问题,比如文件共享太慢,不能打开网页,无法接收邮件等。当网络变得很慢时,我们经常都需要查看一下,是哪些IP在占用带宽。通过下面的演示,可以让大家了解如何查找内网中带宽占用最大的主机IP。
操作:
首先我们要对存在网速故障的网段进行抓包捕获。即把安装有监控软件的主机(笔记本),接入该网段交换机的中心节点上,打开监控软件,设置好抓包。抓包的时间不宜过短也不宜过长,根据情况,一般20分钟就可以了。
抓包完毕后,我们停止数据捕获,对网络数据进行分析。进入科来软件的“端点视图”,在这里可以看到本网段所有的MAC或IP地址所对于的主机的的流量统计。通过图例既可以看到本地MAC地址,也可以看到非常多的外网IP地址。如果只想看IP地址,可以在左侧的窗格中点击“IP端点”树,依次展开“本地子网”,在下面我们从括号中看到:本地子网只包含(10.8.0.0/16)这一个B网段,而这个网段下,有284个节点,也就是说,这个网段中有284个IP地址。在右侧的视图中我们可以看到:这个网段总流量是1.529GB。“端点视图”是默认以总流量倒序显示,我们很容易看到流量最大的主机IP。从上至下选择10行,这样,我们就找出了内网中,带宽占用最多的10个主机IP。(图1)
2、谁在BT下载?
需求:
BT下载是造成企业局域网网速缓慢的大敌,如果局域网中有人用BT下载会造成网速缓慢。我们常说的BT,实质是一种点对点的通讯,使用的是BitTorrent协议。在进行BT下载时,必须经过BT对等协议的两次“握手”。如果内网中有人使用BT下载文件,则会大量占用网络资源,导致其它机器上网困难。如何找到到底是何人在用BT下载呢?利用网络分析软件从网络内的协议入手,则很容易找出谁在使用BT下载。
操作:
首先,我们进行数据包的捕获,方法和上面的类似。数据包捕获完成后,在软件的左窗格中选择“节点浏览器”,找到BitTorrent协议,它就是BT的协议。然后在右边的窗格中点击“协议”选项卡,在应用层中,我们很容易找到BitTorrent协议。我们也可定位到BitTorrent协议节点,找出这个节点下的主机。我们再看一下BitTorrent协议下有哪些端点。选择BitTorrent协议选项,只需点击“端点”选项卡,就可以看到其端点。从这里我们可以看到,内网中有一个主机:192.168.1.128非常可疑,但还是不能确定是否是BT下载的主机,我们要进行进一步的分析。(图2)
[1] [2] [3] [4] 下一页