分析这台主机的网络流量
确定该主机大量发送流量是造成网络拥塞的主要原因后,我们需要进一步对该主机的流量进行分析,也就是对他在网络中正在做什么进行分析,可以称为对他的网络行为进行分析。
首先我们分析该主机的网络流量流向,也就是分析它在向谁发包,我们利用Sniffer 的 Matrix 功能来监控。
主机的会话
通过Sniffer的Matrix,我们发现IP地址为10.22.0.25的主机发出的数据包很分散,我们调查了一下,发现IP地址为10.22.0.25的主机为该网络的网络管理系统主机,而它发包的对象是该网络中地市级路由器的IP地址,也就是说网络的网管主机向地市路由器发出大量的网络包,导致网络流量异常并导致网络大量丢包,使网络处于不稳定状态。
在发现这个问题后,我们将该网管主机的网络连接解除,发现网络马上恢复到了正常状态,不在有丢包现象发生,看起来这个网络的问题完全是由这台网管主机引起的一样,但这种现象非常难以理解,为什么网管主机会造成网络问题呢。
我们利用Sniffer的Decode功能将捕获到的网络流量解码,来分析网管主机发出的数据包的内容,看看到底它发出了什么样的数据包,从而进行进一步的网络行为分析。
解码分析其发送到网络流量
我们通过Sniffer的Decode发现这台网络主机向网络中地市路由器发送大量的ICMP Echo数据包,也就是Ping包,我们对其向10.22.127.246发送的ICMP Echo包进行分析,发现了奇怪的现象。
我们对我们捕获的由 10.22.0.25 向 10.22.127.246 发送的 ICMP Echo 包其中相邻的数据包进行解码分析,图3-16为其发出的第739个数据包,图3-17为其发出的第740个数据包,我们发现这两个包的IP Identification是一样的,都是 15633 ,每个 IP 包都会有一个特定的 Identification 来标志其唯一性,这说明我们捕获到的这两个数据包其实是同一个IP包。
路由环导致网络丢包中主机的网络流量的分析过程就为大家介绍完了,希望大家已经掌握。请大家继续阅读:
【编辑推荐】
