1、谁占用了大量带宽?
需求:
速度是企业局域网的一个重要指标,企业网管经常遭遇局域网速度问题,比如文件共享太慢,不能打开网页,无法接收邮件等。当网络变得很慢时,我们经常都需要查看一下,是哪些IP在占用带宽。通过下面的演示,可以让大家了解如何查找内网中带宽占用最大的主机IP。
操作:
首先我们要对存在网速故障的网段进行抓包捕获。即把安装有监控软件的主机(笔记本),接入该网段交换机的中心节点上,打开监控软件,设置好抓包。抓包的时间不宜过短也不宜过长,根据情况,一般20分钟就可以了。
抓包完毕后,我们停止数据捕获,对网络数据进行分析。进入科来软件的“端点视图”,在这里可以看到本网段所有的MAC或IP地址所对于的主机的的流量统计。通过图例既可以看到本地MAC地址,也可以看到非常多的外网IP地址。如果只想看IP地址,可以在左侧的窗格中点击“IP端点”树,依次展开“本地子网”,在下面我们从括号中看到:本地子网只包含(10.8.0.0/16)这一个B网段,而这个网段下,有284个节点,也就是说,这个网段中有284个IP地址。在右侧的视图中我们可以看到:这个网段总流量是1.529GB。“端点视图”是默认以总流量倒序显示,我们很容易看到流量最大的主机IP。从上至下选择10行,这样,我们就找出了内网中,带宽占用最多的10个主机IP。(图1)
2、谁在BT下载?
需求:
BT下载是造成企业局域网网速缓慢的大敌,如果局域网中有人用BT下载会造成网速缓慢。我们常说的BT,实质是一种点对点的通讯,使用的是BitTorrent协议。在进行BT下载时,必须经过BT对等协议的两次“握手”。如果内网中有人使用BT下载文件,则会大量占用网络资源,导致其它机器上网困难。如何找到到底是何人在用BT下载呢?利用网络分析软件从网络内的协议入手,则很容易找出谁在使用BT下载。
操作:
首先,我们进行数据包的捕获,方法和上面的类似。数据包捕获完成后,在软件的左窗格中选择“节点浏览器”,找到BitTorrent协议,它就是BT的协议。然后在右边的窗格中点击“协议”选项卡,在应用层中,我们很容易找到BitTorrent协议。我们也可定位到BitTorrent协议节点,找出这个节点下的主机。我们再看一下BitTorrent协议下有哪些端点。选择BitTorrent协议选项,只需点击“端点”选项卡,就可以看到其端点。从这里我们可以看到,内网中有一个主机:192.168.1.128非常可疑,但还是不能确定是否是BT下载的主机,我们要进行进一步的分析。(图2)
#p#副标题#e#
为了进一步证实这台主机的数据,是否真的在使用BT大量下载,我们可以再次定位到这台主机的IP端点。点击“矩阵”选项卡,从图中我们可以看到,和我们判断的一样,192.168.1.128在与超过1000个的主机相连,大量占用资源。(图3)
当鼠标移动到该IP上时,会显示详细的通讯信息。(同时,与该IP相连的全部高亮红显示)从数据包的收发情况看来,数据几乎差不多,这里我们就可以确定它就是进行BT下载的主机。因为,如果是扫描或攻击,数据包收发数量会相差甚远。(图4)
#p#副标题#e#
通过颜色就可以断定,因为在软件的默认设置中BT的颜色是蓝色(双向流量),而攻击、扫描等,则会是绿色(单向流量),我们可以通点击“矩阵选项”按钮在打开的窗口中看到。这就证实了我们的判断,至此我们就找到了BT下载者的主机。(图5)
3、谁在非法浏览?
需求:
由于对信息管理的加强,许多用户单位都需要自动记录员工最近N天的上网的记录。对网络应用层的数据进行重组后,则可以记录每个员工的网络行为,包括上网日志。这样的方式记录部署简单,不需要在每台机器上安装客户端,数据集中、完整、效率高,适合各规模用户的上网日志审计工作。
操作:
使用科来网络分析系统,新建或者打开一个工程文件,只要运行,则会在“日志视图”中自动显示上网日志,如图所示。(图6)
#p#副标题#e#
如果需要记录到硬盘中,我们需要进入“日志设置”选项进行日志设置。如果要记录员工的上网记录,点击工具栏上的“日志设置”图标,就可打开“工程设置”窗口,点击“日志设置”选项卡,在左窗格中勾选“HTTP日志”,在右边的“扩展日志”中进行设置。设置日志文件的文件名和保存位置。(图7)文件分割间隔时间,和保留的天数。如图设置就可以记录90天的员工上网记录了。
4、如何收集数据包?
需求:
数据包是网络中传输的原始数据,记录数据包,就象网络录像一样,当我们要追朔过去的一个网络事件,可以将记录的数据包文件重新播放一次,这样便能重现网络事件,通过网络分析,进而找到问题的根本原因,所以数据包的自动保存非常重要,在科来软件中保存数据报的操作非常简单。
操作:
我们新建或者打开现有的一个工程,点击工具栏的“设置”按钮,进入数据包保存设置。勾选“自动保存数据包文件”选项,设置文件保存的文件夹、文件名、文件分割间隔、选择保留最近的文件数即可。(图8)
总结:网络分析软件非常多,灵活使用这些软件可以帮助管理员解决一些比较棘手的网络问题。