分析這臺主機(jī)的網(wǎng)絡(luò)流量

確定該主機(jī)大量發(fā)送流量是造成網(wǎng)絡(luò)擁塞的主要原因后，我們需要進(jìn)一步對該主機(jī)的流量進(jìn)行分析，也就是對他在網(wǎng)絡(luò)中正在做什么進(jìn)行分析，可以稱為對他的網(wǎng)絡(luò)行為進(jìn)行分析。

首先我們分析該主機(jī)的網(wǎng)絡(luò)流量流向，也就是分析它在向誰發(fā)包，我們利用Sniffer 的 Matrix 功能來監(jiān)控。

主機(jī)的會話

通過Sniffer的Matrix，我們發(fā)現(xiàn)IP地址為10.22.0.25的主機(jī)發(fā)出的數(shù)據(jù)包很分散，我們調(diào)查了一下，發(fā)現(xiàn)IP地址為10.22.0.25的主機(jī)為該網(wǎng)絡(luò)的網(wǎng)絡(luò)管理系統(tǒng)主機(jī)，而它發(fā)包的對象是該網(wǎng)絡(luò)中地市級路由器的IP地址，也就是說網(wǎng)絡(luò)的網(wǎng)管主機(jī)向地市路由器發(fā)出大量的網(wǎng)絡(luò)包，導(dǎo)致網(wǎng)絡(luò)流量異常并導(dǎo)致網(wǎng)絡(luò)大量丟包，使網(wǎng)絡(luò)處于不穩(wěn)定狀態(tài)。

在發(fā)現(xiàn)這個問題后，我們將該網(wǎng)管主機(jī)的網(wǎng)絡(luò)連接解除，發(fā)現(xiàn)網(wǎng)絡(luò)馬上恢復(fù)到了正常狀態(tài)，不在有丟包現(xiàn)象發(fā)生，看起來這個網(wǎng)絡(luò)的問題完全是由這臺網(wǎng)管主機(jī)引起的一樣，但這種現(xiàn)象非常難以理解，為什么網(wǎng)管主機(jī)會造成網(wǎng)絡(luò)問題呢。

我們利用Sniffer的Decode功能將捕獲到的網(wǎng)絡(luò)流量解碼，來分析網(wǎng)管主機(jī)發(fā)出的數(shù)據(jù)包的內(nèi)容，看看到底它發(fā)出了什么樣的數(shù)據(jù)包，從而進(jìn)行進(jìn)一步的網(wǎng)絡(luò)行為分析。

解碼分析其發(fā)送到網(wǎng)絡(luò)流量

我們通過Sniffer的Decode發(fā)現(xiàn)這臺網(wǎng)絡(luò)主機(jī)向網(wǎng)絡(luò)中地市路由器發(fā)送大量的ICMP  Echo數(shù)據(jù)包，也就是Ping包，我們對其向10.22.127.246發(fā)送的ICMP Echo包進(jìn)行分析，發(fā)現(xiàn)了奇怪的現(xiàn)象。

我們對我們捕獲的由 10.22.0.25 向 10.22.127.246 發(fā)送的 ICMP Echo 包其中相鄰的數(shù)據(jù)包進(jìn)行解碼分析，圖3-16為其發(fā)出的第739個數(shù)據(jù)包，圖3-17為其發(fā)出的第740個數(shù)據(jù)包，我們發(fā)現(xiàn)這兩個包的IP  Identification是一樣的，都是 15633 ，每個 IP 包都會有一個特定的 Identification 來標(biāo)志其唯一性，這說明我們捕獲到的這兩個數(shù)據(jù)包其實(shí)是同一個IP包。

路由環(huán)導(dǎo)致網(wǎng)絡(luò)丟包中主機(jī)的網(wǎng)絡(luò)流量的分析過程就為大家介紹完了，希望大家已經(jīng)掌握。請大家繼續(xù)閱讀：

靜態(tài)路由配置 路由環(huán)導(dǎo)致網(wǎng)絡(luò)丟包（1）

靜態(tài)路由配置 路由環(huán)導(dǎo)致網(wǎng)絡(luò)丟包（2）

靜態(tài)路由配置 路由環(huán)導(dǎo)致網(wǎng)絡(luò)丟包（4）

【編輯推薦】

1. 路由器的POS接入技術(shù)及解決方案
2. 路由器日志信息記錄的配置方法 續(xù)
3. 初學(xué)者必看：CISCO路由器教程講解
4. 解答通過路由器在內(nèi)網(wǎng)上設(shè)置rootkit
5. 詳細(xì)講解路由器設(shè)置 讓安全陪伴左右