PC机缘何大量发包导致网络性能下降

    PC 机大量发包导致网络性能下降

    1.  网络环境
    用户的网络是一个大型的局域网网络环境，骨干网络由多台核心交换机组成，同时部署了多台防火墙对不同的网段进行安全分隔。

    2.  网络异常现象描述
    该网络出现网络性能突然下降，但没有发现网络设备出现异常，防火墙发出CPU利用率过高告警。

    3.  分析手段
    网络管理人员在局域网骨干链路上部署了Infinistream设备，长期对骨干链路流量进行监控分析，网络技术人员迅速利用Infinistream对骨干链路流量进行分析，来确定问题原因。

    4.  分析过程

    1.  网络总体流量监控及分析
    我们首先对网络的总体流量进行监控和分析，来确定是否存在网络拥塞或大量数据包导致网络性能下降。利用 Infinistream 对总体网络流量分析，结果如下：

Infinistream 监控分析结果

    如图4-17所示，当时网络中每秒数据包数量达到80,000pps，比日常监控的正常值多了近一倍。网络性能下降的原因很可能是由于网络中数据包数量过大，网络中的防火墙难以处理导致性能下降。

    2. 分析数据包是哪些主机发出的
    我们迅速对峰值的主机流量进行分析，按每秒数据包数量进行排序，迅速找出了向网络中大量发送数据包的两台主机， 10.4.57.170 每秒 30,274 个数据包，10.4.95.38每秒9,317个数据包，均为办公网的PC，在网管人员迅速将两台计算机关闭后，网络恢复正常。

    3.  进一步分析这两台主机的网络流量
    Infinistream 能够长期保存网络流量，我们利用 Infinistream 对这两台计算机的网络行为进行进一步分析。对主机 10.4.57.170 的网络行为分析如下。

    开始发包时间

主机10.4.57.170发包情况

    我们通过图4-18可以看到，这台主机在1天以前就开始向网络中发送数据包，每秒钟发包的数量不断增加，到关闭该主机为止，每秒发包数量已经增加到了 30000 多个。

    发包内容

    同过 Sniffer 的 Decode 功能，我们进一步分析该主机发出的数据包内容，结果如下图。

10。4.57.170发包数据解码

    从图4-19中到主机发包到解码协议内容看，我们发现IP地址为210 10。4.57.170到主机向IP地址为0.128.1.120（不存在到IP地址）到主机发送大量ODP数据包。同时都是小包。没有数据载荷。

    对主机10.4.95.38到进下一步分析

  开始发包时间

10.4.95.38发包情况

    我们通过图4-20可以看到，这台主机在12小时以前开始向网络中发送数据包，每秒钟发包的数量不断增加，到关闭该主机为止，每秒发包数量已经增加到了9000多个。

    发包内容

    同过Sniffer的Decode功能，我们进一步分析该主机发出的数据包内容，结果如下图。

10.4.95.38发包数据解码

    从图4-21中的主机发包的协议解码内容看，我们发现IP地址为10.4.95.38的主机和10.4.57.170的网络行为相似，其向IP地址为0.124.1.120（不存在的IP地址）的主机发出大量UDP数据包，同时都是小包，没有有效数据载荷。

    正是这两台主机的异常网络行为，导致网络中防火墙的处理能力下降，从而导致整个网络性能下降。