問(wèn)題現象

在使用Windows 主機(jī)時發現主機(jī)網絡流量較大(dà)。

可(kě)能原因

有多種原因可(kě)能造成服務器網絡帶寬占用較高：

客戶正常應用業務訪問(wèn)頻繁，正常占用較高帶寬。

惡意病毒、木馬引起的網絡流量。有時三方惡意程序可(kě)能會利用操作(zuò)系統的svchost.exe，或者 Tcpsvcs.exe來(lái)僞裝，引起高帶寬的占用。

Windows自(zì)身(shēn)服務(更新服務等)可(kě)能會占用較高網絡流量。

解決方案

對于此類問(wèn)題，采用如(rú)下跟進方案分(fēn)析爲何占用高流量

使用Windows自(zì)帶工(gōng)具Resource Monitor(資源監視器)監控實時流量情況。

使用Wireshark在流量大(dà)的情況下，抓取網絡包一段時間，分(fēn)析流量使用情況。

資源監視器

Windows 2008 R2 /Windows 2012 R2 打開資源管理(lǐ)器 -> 性能 -> 資源監視器 -> 網絡， 如(rú)下圖：

Windows 2008 R2如(rú)下圖：

Windows 2012 R2如(rú)下圖：

通過上述列出的“網絡活動的進程”、“網絡活動”，“TCP連接”，“偵聽端口”可(kě)以實時分(fēn)析當前服務器的網絡流量情況，找出占用流量高的進程分(fēn)析。

如(rú)果該進程是正常業務進程，确實因爲客戶端訪問(wèn)量大(dà)造成帶寬占用高，請(qǐng)酌情考慮購(gòu)買更多帶寬；

如(rú)果該進程是名稱可(kě)疑進程，請(qǐng)嘗試直接殺死進程，或者使用專業殺毒軟件(jiàn)進行殺毒後觀察服務器行爲；

Wireshark

Wireshark是常用的網絡分(fēn)析工(gōng)具，Wireshark分(fēn)析網絡流量非常簡單，通過菜單欄中的statistics->conversations, 會顯示出所有的網絡通信，從(cóng)鏈路(lù)層、IP層、TCP層分(fēn)别給出了流量的具體(tǐ)情況，通信2端的流情況。通過抓取一段時間的網絡包可(kě)以分(fēn)析出究竟是哪些連接、端口占用了較高的流量。