問(wèn)題現象
在使用Windows 主機(jī)時發現主機(jī)網絡流量較大(dà)。
可(kě)能原因
有多種原因可(kě)能造成服務器網絡帶寬占用較高:
客戶正常應用業務訪問(wèn)頻繁,正常占用較高帶寬。
惡意病毒、木馬引起的網絡流量。有時三方惡意程序可(kě)能會利用操作(zuò)系統的svchost.exe,或者 Tcpsvcs.exe來(lái)僞裝,引起高帶寬的占用。
Windows自(zì)身(shēn)服務(更新服務等)可(kě)能會占用較高網絡流量。
解決方案
對于此類問(wèn)題,采用如(rú)下跟進方案分(fēn)析爲何占用高流量
使用Windows自(zì)帶工(gōng)具Resource Monitor(資源監視器)監控實時流量情況。
使用Wireshark在流量大(dà)的情況下,抓取網絡包一段時間,分(fēn)析流量使用情況。
資源監視器
Windows 2008 R2 /Windows 2012 R2 打開資源管理(lǐ)器 -> 性能 -> 資源監視器 -> 網絡, 如(rú)下圖:
Windows 2008 R2如(rú)下圖:
Windows 2012 R2如(rú)下圖:
通過上述列出的“網絡活動的進程”、“網絡活動”,“TCP連接”,“偵聽端口”可(kě)以實時分(fēn)析當前服務器的網絡流量情況,找出占用流量高的進程分(fēn)析。
如(rú)果該進程是正常業務進程,确實因爲客戶端訪問(wèn)量大(dà)造成帶寬占用高,請(qǐng)酌情考慮購(gòu)買更多帶寬;
如(rú)果該進程是名稱可(kě)疑進程,請(qǐng)嘗試直接殺死進程,或者使用專業殺毒軟件(jiàn)進行殺毒後觀察服務器行爲;
Wireshark
Wireshark是常用的網絡分(fēn)析工(gōng)具,Wireshark分(fēn)析網絡流量非常簡單,通過菜單欄中的statistics->conversations, 會顯示出所有的網絡通信,從(cóng)鏈路(lù)層、IP層、TCP層分(fēn)别給出了流量的具體(tǐ)情況,通信2端的流情況。通過抓取一段時間的網絡包可(kě)以分(fēn)析出究竟是哪些連接、端口占用了較高的流量。