1、誰占用了大量帶寬?

　　需求：

　　速度是企業局域網的一個重要指標，企業網管經常遭遇局域網速度問題，比如文件共享太慢，不能打開網頁，無法接收郵件等。當網絡變得很慢時，我們經常都需要查看一下，是哪些IP在占用帶寬。通過下面的演示，可以讓大家了解如何查找內網中帶寬占用最大的主機IP。

　　操作：

　　首先我們要對存在網速故障的網段進行抓包捕獲。即把安裝有監控軟件的主機(筆記本)，接入該網段交換機的中心節點上，打開監控軟件，設置好抓包。抓包的時間不宜過短也不宜過長，根據情況，一般20分鐘就可以了。

　　抓包完畢后，我們停止數據捕獲，對網絡數據進行分析。進入科來軟件的“端點視圖”，在這里可以看到本網段所有的MAC或IP地址所對于的主機的的流量統計。通過圖例既可以看到本地MAC地址，也可以看到非常多的外網IP地址。如果只想看IP地址，可以在左側的窗格中點擊“IP端點”樹，依次展開“本地子網”，在下面我們從括號中看到：本地子網只包含(10.8.0.0/16)這一個B網段，而這個網段下，有284個節點，也就是說，這個網段中有284個IP地址。在右側的視圖中我們可以看到：這個網段總流量是1.529GB。“端點視圖”是默認以總流量倒序顯示，我們很容易看到流量最大的主機IP。從上至下選擇10行，這樣，我們就找出了內網中，帶寬占用最多的10個主機IP。(圖1)

 

   

    
    2、誰在BT下載?

　　需求：

　　BT下載是造成企業局域網網速緩慢的大敵，如果局域網中有人用BT下載會造成網速緩慢。我們常說的BT，實質是一種點對點的通訊，使用的是BitTorrent協議。在進行BT下載時，必須經過BT對等協議的兩次“握手”。如果內網中有人使用BT下載文件，則會大量占用網絡資源，導致其它機器上網困難。如何找到到底是何人在用BT下載呢?利用網絡分析軟件從網絡內的協議入手，則很容易找出誰在使用BT下載。

　　操作：

　　首先，我們進行數據包的捕獲，方法和上面的類似。數據包捕獲完成后，在軟件的左窗格中選擇“節點瀏覽器”，找到BitTorrent協議，它就是BT的協議。然后在右邊的窗格中點擊“協議”選項卡，在應用層中，我們很容易找到BitTorrent協議。我們也可定位到BitTorrent協議節點，找出這個節點下的主機。我們再看一下BitTorrent協議下有哪些端點。選擇BitTorrent協議選項，只需點擊“端點”選項卡，就可以看到其端點。從這里我們可以看到，內網中有一個主機：192.168.1.128非常可疑，但還是不能確定是否是BT下載的主機，我們要進行進一步的分析。(圖2)

 

   

#p#副標題#e#

    為了進一步證實這臺主機的數據，是否真的在使用BT大量下載，我們可以再次定位到這臺主機的IP端點。點擊“矩陣”選項卡，從圖中我們可以看到，和我們判斷的一樣，192.168.1.128在與超過1000個的主機相連，大量占用資源。(圖3)

 

   

    
    當鼠標移動到該IP上時，會顯示詳細的通訊信息。(同時，與該IP相連的全部高亮紅顯示)從數據包的收發情況看來，數據幾乎差不多，這里我們就可以確定它就是進行BT下載的主機。因為，如果是掃描或攻擊，數據包收發數量會相差甚遠。(圖4)

 

   

#p#副標題#e#

    通過顏色就可以斷定，因為在軟件的默認設置中BT的顏色是藍色(雙向流量)，而攻擊、掃描等，則會是綠色(單向流量)，我們可以通點擊“矩陣選項”按鈕在打開的窗口中看到。這就證實了我們的判斷，至此我們就找到了BT下載者的主機。(圖5)

 

   

    
    3、誰在非法瀏覽?

　　需求：

　　由于對信息管理的加強，許多用戶單位都需要自動記錄員工最近N天的上網的記錄。對網絡應用層的數據進行重組后，則可以記錄每個員工的網絡行為，包括上網日志。這樣的方式記錄部署簡單，不需要在每臺機器上安裝客戶端，數據集中、完整、效率高，適合各規模用戶的上網日志審計工作。

　　操作：

　　使用科來網絡分析系統，新建或者打開一個工程文件，只要運行，則會在“日志視圖”中自動顯示上網日志，如圖所示。(圖6)

 

   

#p#副標題#e#

    如果需要記錄到硬盤中，我們需要進入“日志設置”選項進行日志設置。如果要記錄員工的上網記錄，點擊工具欄上的“日志設置”圖標，就可打開“工程設置”窗口，點擊“日志設置”選項卡，在左窗格中勾選“HTTP日志”，在右邊的“擴展日志”中進行設置。設置日志文件的文件名和保存位置。(圖7)文件分割間隔時間，和保留的天數。如圖設置就可以記錄90天的員工上網記錄了。

 

   

    
    4、如何收集數據包?

　　需求：

　　數據包是網絡中傳輸的原始數據，記錄數據包，就象網絡錄像一樣，當我們要追朔過去的一個網絡事件，可以將記錄的數據包文件重新播放一次，這樣便能重現網絡事件，通過網絡分析，進而找到問題的根本原因，所以數據包的自動保存非常重要，在科來軟件中保存數據報的操作非常簡單。

　　操作：

　　我們新建或者打開現有的一個工程，點擊工具欄的“設置”按鈕，進入數據包保存設置。勾選“自動保存數據包文件”選項，設置文件保存的文件夾、文件名、文件分割間隔、選擇保留最近的文件數即可。(圖8)

 

   

    
    總結：網絡分析軟件非常多，靈活使用這些軟件可以幫助管理員解決一些比較棘手的網絡問題。