有效的管理网络，更大程度的节约带宽是每个网络管理员所追求的。为了更清楚的查看网络中使用带宽的状况，笔者所在公司刚刚购买了一套流量监控设备，通过他可以了解当前每个网段的流量以及整个网络使用流量的TOP10，笔者分析了目前网络中占用带宽的前十名，从而发现了一个“带宽杀手”。

　　一、发现杀手:

　　由于该设备刚刚使用不久，所以笔者每天早上都会对流量前几位的数据进行查看。显示出来的inbound流量TOP10列表如图1所示。(如图1)依次为HTTP(网页浏览)，FTP，DEFAULT(默认数据包)，BitTorrent(BT软件)，MPEG-audio(网页上的流媒体)等等。

图1

      在这前十名里笔者发现有一个奇怪的应用，那就是位于第七名的inbound_discoveredports/tcp_port_3077，该应用占据了总带宽的4%。笔者又打开inbound_discoveredports/tcp_port_3077所对应的详细流量图来看看此流量是临时产生的还是一直存在的，详细信息图中可以看出该流量是稳定的连续的，说明问题不是偶然。(如图2)

　　二、猜测杀手:

　　有与该应用已经占据了总带宽的4%之多，所以应该马上对其进行治理。分析名称inbound_discoveredports/tcp_port_3077，说明他是inbound方向，也就是从外界到公司内部的方向，使用的协议是TCP协议，使用的端口为3077。说得更明白的就是该应用是外界数据包发向公司内部计算机3077端口的。为什么到3077端口的数据会这么多呢?

　　笔者根据多年的经验对其判断，这么多数据包都连接某同一端口说明要嘛该端口开启了某个应用，要嘛网络中感染了某种病毒，病毒连接目标地址的TCP协议3077端口来传播。

　　三、缉拿杀手:

　　对问题进行分析后就该采取措施来解决了，笔者马上通知所有网络管理员对自己所管辖网段进行杀毒，然而使用最新的病毒库却没有发现一个病毒。因此可以将第一种猜测排除。

　　接下来就将目光定位到某个应用上了，到底是什么应用使用了TCP协议的3077端口呢?笔者在流量控制设备上将该应用使用的流量进行了限制，不容许该端口传输任何流量。

　　四、杀手潜逃:

　　封锁了该端口后笔者本来以为将会一帆风顺的释放了带宽，然而谁知道经过几天的监测后发现TOP10显示中又出现了一个名为inbound_discoveredports/tcp_port_3078的应用。端口是连续的?根据经验这个100%是一个应用了，该应用默认是使用3077端口的，当3077端口被封就会自动改变应用端口，例如本例中的3078。看来通过简单的封锁是不能够将该程序彻底禁止的。

　　五、验明正身:

　　通过网上搜索才发现原来这个带宽杀手是迅雷，他是一个多线程下载工具，即不是病毒也不是什么特殊的网络服务。该程序默认情况使用TCP协议的3077端口传输数据，当3077端口不能使用后则会使用3078或者3076端口。

　　笔者又尝试使用流量管理软件将TCP协议的3076，3077，3078端口全部封掉，接下来继续使用迅雷工具，发现仍然可以下载。这说明该软件不光使用这三个端口传输数据，当这些端口被封锁后还会使用其他端口。

　　总结:

　　看来这个流量大是因为网络内有很多用户使用迅雷进行下载造成的，由于该使用还属于正常范畴，我们不可能不容许公司员工下载数据，所以对该端口是不能封闭的。本次经验告诉我们遇到问题，特别是网络流量问题不要轻易的去主观猜测，第一步要做的就是通过网络进行搜索，否则会像笔者一样走很多弯路，错误的将不该禁止的流量强行封锁。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: