扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:科来 来源:科来 2009年1月12日
关键字: 网络管理
PC 机大量发包导致网络性能下降
1. 网络环境
用户的网络是一个大型的局域网网络环境,骨干网络由多台核心交换机组成,同时部署了多台防火墙对不同的网段进行安全分隔。
2. 网络异常现象描述
该网络出现网络性能突然下降,但没有发现网络设备出现异常,防火墙发出CPU利用率过高告警。
3. 分析手段
网络管理人员在局域网骨干链路上部署了Infinistream设备,长期对骨干链路流量进行监控分析,网络技术人员迅速利用Infinistream对骨干链路流量进行分析,来确定问题原因。
4. 分析过程
1. 网络总体流量监控及分析
我们首先对网络的总体流量进行监控和分析,来确定是否存在网络拥塞或大量数据包导致网络性能下降。利用 Infinistream 对总体网络流量分析,结果如下:
Infinistream 监控分析结果
如图4-17所示,当时网络中每秒数据包数量达到80,000pps,比日常监控的正常值多了近一倍。网络性能下降的原因很可能是由于网络中数据包数量过大,网络中的防火墙难以处理导致性能下降。
2. 分析数据包是哪些主机发出的
我们迅速对峰值的主机流量进行分析,按每秒数据包数量进行排序,迅速找出了向网络中大量发送数据包的两台主机, 10.4.57.170 每秒 30,274 个数据包,10.4.95.38每秒9,317个数据包,均为办公网的PC,在网管人员迅速将两台计算机关闭后,网络恢复正常。
3. 进一步分析这两台主机的网络流量
Infinistream 能够长期保存网络流量,我们利用 Infinistream 对这两台计算机的网络行为进行进一步分析。对主机 10.4.57.170 的网络行为分析如下。
开始发包时间
主机10.4.57.170发包情况
我们通过图4-18可以看到,这台主机在1天以前就开始向网络中发送数据包,每秒钟发包的数量不断增加,到关闭该主机为止,每秒发包数量已经增加到了 30000 多个。
发包内容
同过 Sniffer 的 Decode 功能,我们进一步分析该主机发出的数据包内容,结果如下图。
10。4.57.170发包数据解码
从图4-19中到主机发包到解码协议内容看,我们发现IP地址为210 10。4.57.170到主机向IP地址为0.128.1.120(不存在到IP地址)到主机发送大量ODP数据包。同时都是小包。没有数据载荷。
对主机10.4.95.38到进下一步分析
开始发包时间
10.4.95.38发包情况
我们通过图4-20可以看到,这台主机在12小时以前开始向网络中发送数据包,每秒钟发包的数量不断增加,到关闭该主机为止,每秒发包数量已经增加到了9000多个。
发包内容
同过Sniffer的Decode功能,我们进一步分析该主机发出的数据包内容,结果如下图。
10.4.95.38发包数据解码
从图4-21中的主机发包的协议解码内容看,我们发现IP地址为10.4.95.38的主机和10.4.57.170的网络行为相似,其向IP地址为0.124.1.120(不存在的IP地址)的主机发出大量UDP数据包,同时都是小包,没有有效数据载荷。
正是这两台主机的异常网络行为,导致网络中防火墙的处理能力下降,从而导致整个网络性能下降。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。