上一页  [1] [2] [3] [4] 下一页

    3.  分析这台主机的网络流量

    确定该主机大量发送流量是造成网络拥塞的主要原因后，我们需要进一步对该主机的流量进行分析，也就是对他在网络中正在做什么进行分析，可以称为对他的网络行为进行分析。

    首先我们分析该主机的网络流量流向，也就是分析它在向谁发包，我们利用Sniffer 的 Matrix 功能来监控。

主机的会话

    通过Sniffer的Matrix，我们发现IP地址为10.22.0.25的主机发出的数据包很分散，我们调查了一下，发现IP地址为10.22.0.25的主机为该网络的网络管理系统主机，而它发包的对象是该网络中地市级路由器的IP地址，也就是说网络的网管主机向地市路由器发出大量的网络包，导致网络流量异常并导致网络大量丢包，使网络处于不稳定状态。

    在发现这个问题后，我们将该网管主机的网络连接解除，发现网络马上恢复到了正常状态，不在有丢包现象发生，看起来这个网络的问题完全是由这台网管主机引起的一样，但这种现象非常难以理解，为什么网管主机会造成网络问题呢。

    我们利用Sniffer的Decode功能将捕获到的网络流量解码，来分析网管主机发出的数据包的内容，看看到底它发出了什么样的数据包，从而进行进一步的网络行为分析。

解码分析其发送到网络流量

    我们通过Sniffer的Decode发现这台网络主机向网络中地市路由器发送大量的ICMP  Echo数据包，也就是Ping包，我们对其向10.22.127.246发送的ICMP Echo包进行分析，发现了奇怪的现象。

上一页  [1] [2] [3] [4] 下一页

    我们对我们捕获的由 10.22.0.25 向 10.22.127.246 发送的 ICMP Echo 包其中相邻的数据包进行解码分析，图3-16为其发出的第739个数据包，图3-17为其发出的第740个数据包，我们发现这两个包的IP  Identification是一样的，都是 15633 ，每个 IP 包都会有一个特定的 Identification 来标志其唯一性，这说明我们捕获到的这两个数据包其实是同一个IP包。

解码分析二

    而捕获到的这个数据包的Time to live也就是TTL值一个为251，另一个为250，TTL为IP包的生存时间，每经过一个路由处理，TTL值就会被减一，直至到0后被路由器丢掉。

    我们看到其他的数据包也是同样的情况，这个 IP ID 为 15663 的数据包不断在网络中出现，直到TTL值减到0，这种现象清楚的表明，网络里存在着路由环，发向10.22.127.246的数据包是在路由器间不断的互相传递，最终被丢掉，这种现象也可以成为路由乒乓现象，出现路由环后，一个数据包将重复在网络中传送，而且瞬时流量会异常的大，造成网络异常，这正和该网络的网络异常现象相吻合。

    为什么会出现路由环呢，我们对其网络进行了详细的了解，发现其在路由器中设置了大量的静态路由，其路由设置如图3-18所示。

    从图 3-18中我们可以看出，如果二级网路由器同地市网络路由器之间的DDN网络连接一旦中断，二级网路由器中所