资源耗尽 是谁动了内网带宽的蛋糕

　　相信不好的中小企业网络管理员都和笔者一样时时刻刻为了网络速度缓慢，内网传输堵塞而烦恼，这个问题广泛存在于企业内网中，即使企业申请新经费拓宽网络带宽，然后依然会发现实际效果非常不明显。到底网络带宽都被谁占用了呢？是谁动了内网带宽的蛋糕？今天笔者就从实际硬件设备出发从流量管理软件监控方面出发看看到底是谁在内网捣乱，珍贵的网络资源被谁霸占了。

　　一，测试环境简单介绍：

　　笔者所在企业购买的硬件流量管理软件，这个流量管理设备的好处就是可以针对网络出口进行监控，了解到各个网络服务的种类以及他们的带宽占用情况。在实际使用过程中我们将在核心路由交换设备上开启一个镜像端口，让此端口镜像外网出口，然后将这个流量监控设备连接到此镜像端口上，这样所有外网数据都会被重复发送到此流量监控设备上，针对所有流量进行统计从而发现内网占据带宽的罪魁祸首。

　　二，从协议入手抓取总带宽占用排行榜：

　　由于该流量监控设备可以针对实时和长期时间段进行监控与汇总并绘制出对应的图形表格，所以我们可以轻松方便的查看前几名占据内网带宽最多的几个网络服务。笔者针对网络协议进行分析绘制出了前十五名占据网络总带宽的网络服务。（如图1）

　　从图中我们可以看出网络服务总带宽占据排名依次为——http（超文本传输协议）,http download manager（HTTP下载管理协议，主要用于HTTP下载）,PPlive（pplive在线视频协议）,bittorrent（BT下载协议）,edonkey（电驴下载协议）,qq live（QQ直播协议用于QQ在线视频）,edonkey enc（电驴同步传输协议）,bittorrent enc（BT同步传输协议）,other p2p（其他P2P软件使用的协议）,ms player（微软Windowsmedia player提供的在线视频协议）,ftp（FTP传输协议）,https（超文本传输加密协议）,rtsp（REAL在线视频协议）,thunder（迅雷传输下载协议）,http-proxy（HTTP代理协议）。

　　由于笔者在监控时只选择了罗列出前十五位带宽占用服务，所以这里我们也只能够看到前十五名占用网络资源的罪魁祸首。当然这里面有些是必须的有用是正规的服务，而大多数是没有意义的网络应用。下面我们就针对没用的服务加以分析，在实际使用和管理过程中我们应该尽可能的限制他们的总带宽和使用资源情况。

　　（1）需要禁止的无用网络服务：

　　在网络使用过程中有一些网络服务对于实际工作没有任何好处，他们都是员工为了娱乐而使用的，因此要建立一个合理的企业内网，让其高效运行，我们必须针对这些无用的且占用大量带宽资源的网络服务加以禁止。

　　排名第三的PPLIVE是PPLIVE软件使用的协议，该软件是一个能够提供在线视频观看影片服务的软件，类型属于P2P软件。该服务对网络资源的使用主要来自于员工通过PPLIVE观看在线电影和视频造成的，所以这个服务应该加以限制。（如图2）

　　排名第四和第八的属于bittorrent（BT下载协议）和bittorrent enc（BT同步传输协议），他们都是由BT下载产生的，众所周知BT下载是最常用的P2P下载工具，他对网络的使用也是巨大的，严重的会消耗所有网络带宽。实际上我们看到的这个流量图是笔者针对BT下载进行了限制后的效果，如果不加以限制恐怕他的排名会稳居三甲，所以这个服务应该加以限制。

　　排名第五和第七的属于edonkey（电驴下载协议）以及edonkey enc（电驴同步传输协议），他们都是由电驴这个P2P下载软件产生的，和BT下载一样电驴对网络资源的占用也是巨大的，在疯狂下载的同时也在疯狂上传数据，这也是为什么在总带宽占用排行榜中电驴榜上有名的原因。

　　排名第六的是qq live（QQ直播协议用于QQ在线视频），实际上他也是一种网络视频软件，通过qq live程序查看在线视频，由于大部分企业都不会开启通过qq live查看的视频，所以该服务产生的流量主要是娱乐方面，我们应该在实际使用过程中对此服务加以限制。（如图3）

　　排名第九的是other p2p（其他P2P软件使用的协议），这主要是由一些不知名或者不流行的P2P软件产生的流量，同样我们也应该在实际使用过程中对此服务加以限制，禁止其对网络的访问。

　　排名第十四的是thunder（迅雷传输下载协议），他是由大名鼎鼎的迅雷下载产生的流量，众所周知迅雷下载属于传统下载与P2P软件相结合的工具，他对网络带宽的占用也是巨大的，我们也应该在实际使用过程中对此服务加以限制，禁止其对网络的访问。

　　（2）需要限制的网络服务：

　　当然除了上述要严格禁止的网络服务外还有一些服务虽然容许使用，但是我们也不能够让其随心所欲，毕竟其服务对带宽占用过大反而会影响实际工作。通过排行榜我们可以看到需要加以限制的网络服务主要有以下几个。

　　排名第十的ms player（微软Windowsmedia player提供的在线视频协议），他是我们平时在线观看视频格式为WMV类文件产生的流量，虽然我们不应该彻底禁止在线视频的观看，但是对这类服务来说还是应该限制他对网络的占用，加以限制避免因为在线视频观看带来的带宽压力。

　　排名第十三的rtsp（REAL在线视频协议），实时流协议RTSP是由RealNetworks和Netscape共同提出的，他是我们平时在线观看视频格式为RM或RMVB类文件产生的流量，虽然我们不应该彻底禁止在线视频的观看，但是对这类服务来说还是应该限制他对网络的占用，加以限制避免因为在线视频观看带来的带宽压力。

　　（3）正常的网络服务要合理管理：

　　刨除要禁止与限制的网络服务外剩下的服务要属于企业网络应用中正常的服务了，例如HTTP浏览页面服务，HTTP downloadmanager的HTTP下载服务，FTP服务，HTTP-proxy的代理服务等。

　　以上就是笔者针对企业内网实际网络服务的监控结果，本文罗列出了总带宽占用最大的前十五名网络应用，希望可以对各个企业网络管理员有所帮助，让我们更合理的管理内网。

　　三，从流入数据带宽占用看网络服务：

　　前面我们是从总带宽占用方面入手分析网络各个服务和各个应用对带宽的占用，当然总带宽是由流入带宽与流出带宽组成的，笔者又分别对流入带宽与流出带宽进行了测试，当然结果和之前有所区别的。

　　在流入数据带宽占用前十五名中我们没有看到陌生面孔，这十五个网络服务都出现在总带宽中，只不过排名所有变化。（如图4）

　　四，从流出数据带宽占用看网络服务：

　　之后笔者针对流入数据带宽占用对网络服务进行了分析，这个排名中我们看到了一些新面孔，包括ICMP，GADU GADU，SAP-INFoservice这三个，而且从排名图中我们也看到与之前HTTP服务一只独秀不同的是，从流出数据带宽占用看网络服务同几名网络应用对带宽的占用基本相当，看来在上传方面BT类P2P软件对资源的占用是巨大的。（如图5）

　　反观三个新面孔ICMP，GADU GADU，SAP-INFoservice，他们又是什么服务呢？首先ICMP协议是PING使用的协议，当然日常使用中tracert命令也是通过ping来检测网络路径的，这说明内网中存在大量ping数据包来探测外网主机的存活，个人怀疑是一些扫描类工具。而GADU GADU则是一款即时消息通讯程序，看来这个流量主要是通过此软件聊天产生的，这点令笔者比较差异这个即时消息通讯程序平时基本没有听说过。最后的SAP-INFoservice服务则是IPX服务通告协议，它可以通告诸如网络服务器和打印服务器等网络资源设备的地址和所能提供的服务。同时路由器也可以监听SAP更新消息，建立一个已知服务和相应网络地址的对应表。客户机可以利用路由器上的SAP表得到网上服务和地址的信息，从而直接访问相应服务。看来这部分流量主要是由路由器或扫描网络设备产生的。

　　五，从新连接数占用看网络服务：

　　笔者还针对新连接数new connections进行了监控，得出了每秒产生新连接数最多的前十五名网络应用，当然这里面大部分都在前面介绍过，第五名是ICMP协议，这点证明了笔者之前的假设，内网应该有人用扫描工具扫描外网，这样必然造成ICMP连接数的大量增加。除此之外DNS服务，telnet服务，FTP，netbios-ip,smb等网络常规服务也榜上有名，他们都是网络必须的服务。DNS服务用于域名查询，telnet服务用于管理路由交换设备，FTp服务用于传输数据，netbios-ip与SMB服务则在内网局域网共享中使用广泛。（如图6）

　　当然除此之外笔者还发现QQ GAMES服务的存在，看来内网通过QQ玩游戏的人也不在少数。

　　六，总结：

　　本文笔者针对自己所在企业的内网各个服务和带宽占用情况进行了监视控制，罗列出包括总带宽占用，流入带宽占用，流出带宽占用，新连接数使用情况等多个分类的前十五名，希望可以为各个企业网络管理员提供参考，也方便读者分析内网使用和内网服务，让我们禁止无用服务，限制一般服务，放开有用服务，打造一个更高效更快捷的内网。