我們可以從上圖注意到,219.73.238.88這個主機上行流量要明顯小于下行的流量,而219.72.237.201這個主機則是上行流量明顯大于下行流量,通過確認219.72.238.88為一臺Web服務器,219,72,237,201則是其他公司托管我在我公司的一臺服務器,所以到這一步我們就可以大致知道這兩個主機當前正在進行的網絡活動。
同時我們要注意的就是每個地址的收發包數量是否正常,即是否收發之間存在較大差異,如果只收不發或者只發不收,那很可能就意味著這個主機的當前流量有異常(例如受到SYN攻擊),我們可以進一步通過sniffer提供的Decode功能對捕獲的數據包進行解碼,來分析具體的數據包內容。比如我們通過定義一個過濾器來查看上面兩個地址的具體數據流量,如下圖所示:
我們可以看到在這些HTTP應用里面,TCP的三次握手都很完整,排除了惡意的SYN攻擊行為,都是正常的HTTP流量。附:也許從這次的例子看不出有什么異常,實際上在大部分的情況下一旦網絡出現異常,可以在第一時間直觀的通過HostTable功能找到問題的根源。
2,查看sniffer的專家系統,發現存在大量的Local Routing(本地路由)告警,sniffer中對此告警的解釋為:Two DLC stations on the same segment are communicating via a router. Packets are being transmitted via the router rather than directly from one DLC station to the other(大致意思是兩個屬于同一網段的主機之間通過路由器通信,數據包通過路由器發送而不是直接在兩主機間轉發)。并提示可能原因為路由表設置不當。(如下圖所示)
