标签: 网络流量分析

一、网络分析的本质 要了解分析流程，就必须认识到这不仅仅是查看数据，而是要解读数据包所讲述的故事。这需要将多个数据包和数据流中的信息关联起来，识别模式和异常，并将数据与更广泛的网络环境联系起来。这一过程既需要技术技能，也需要直观理解，将数据解读的科学性与解决问题的艺术性融为一体。 二、关键分析技术 1、模式识别 有效分析的核心在于模式识别。分析人员必须练就一双慧眼，从异常模式中分辨出正常的流量模式，识别出可能预示着问题或攻击的标准协议行为偏差，并识别出可能预示着性能问题或可疑活动的异常定时模式。Wireshark 的 IO Graphs 和 IOTA 的各种仪表盘等工具在这一过程中非常有用，它们提供了一段时间内流量模式的可视化表示，使分析人员能够快速发现趋势和异常。 2、性能分析 性能分析是这一阶段的另一个重要方面。在这一阶段，分析人员通过测量数据包在网络点之间传输所需的时间、评估实际数据传输速率与预期值之间的差异以及了解数据包重传的原因，深入研究延迟、吞吐量和重传率等指标。Wireshark 的 TCP 流图和 IOTA 的 TCP 流功能为这种深入的性能评估提供了强大的功能，使分析人员能够剖析单个数据流的行为。 图1：TCP连接中的序列号(Stevens)随时间变化的情况 3、安全分析 在当今充满威胁的数字环境中，安全分析已成为数据包检查不可或缺的一部分。分析人员必须善于通过识别可能表明存在未经授权访问企图的流量模式来检测潜在的入侵。他们需要识别网络流量中恶意软件活动的蛛丝马迹，并警惕可能预示着数据外渗企图的异常出站流量。Wireshark 的协议剖析器可以帮助识别可疑的有效载荷，其对话统计数据可以突出显示不寻常的通信模式，而 IOTA 的安全仪表板则在此基础上更进一步，针对潜在的安全威胁提供实时洞察力和详细的数据包信息。 4、应用程序行为分析 通过网络流量了解应用程序行为是分析师的另一项重要技能。这包括检查应用层协议的复杂性以了解应用程序如何通信，识别表明网络资源使用效率低下的模式，以及将应用程序性能与网络指标相关联。Wireshark 的特定协议分析功能和 IOTA 的应用程序仪表板等工具为这一领域提供了宝贵的洞察力，使分析人员能够弥合网络性能与应用程序行为之间的差距。 图2：IOTA的应用概览页面 三、高级分析技术 1、基于时间的分析 随着分析人员经验的积累，他们经常会发现自己需要使用更高级的技术。例如，基于时间的分析包括检查相关数据包之间的时间差，以识别延迟或低效，以及了解数据包序列的顺序和时间，以诊断协议或应用程序问题。Wireshark 的 TCP 流时间序列图对这类分析特别有用，它提供了数据包定时的可视化表示，可以揭示微妙的问题。 图3：IOTA的TCP分析页面 2、对比分析 对比分析是高级分析师工具包中的另一项强大技术。通过将当前流量模式与已建立的基线进行比较，或对网络更改进行前后分析，分析师可以识别正常行为的偏差，并评估网络更改的影响。Wireshark 和 IOTA 都支持加载和比较多个捕获文件，为这类深入比较研究提供了便利。 3、启发式分析 有时，传统的分析技术不足以发现复杂的问题。这就是启发式分析发挥作用的地方。启发式分析包括利用经验和直觉来识别数据中可能无法立即发现的潜在问题，应用网络架构、协议和常见问题的知识来指导调查，以及根据观察到的数据来开发和测试有关网络行为的假设。这种类型的分析通常需要创造性地使用 Wireshark 和 IOTA 中的工具，以新颖的方式结合不同的功能，从而获得新的见解。 4、从分析到行动 分析阶段的最终目标是将洞察力转化为行动。这可能涉及生成报告，以清晰、可操作的格式为利益相关者总结发现，根据分析结果推荐具体的变更或干预措施，或建立持续的分析流程以跟踪已实施解决方案的有效性。Wireshark 和 IOTA 都提供了报告功能，可帮助有效传达分析结果，确保分析成果可以轻松共享并付诸行动。 图4：分析到行动的工作流程 四、分析的反复性 重要的是要记住，有效的分析往往是反复进行的。最初的发现可能会引发新的问题，要求分析人员重新审视 OIDA 的早期阶段。 关键是要保持好奇心，有条不紊，并对意想不到的发现持开放态度。 分析过程中的每一次迭代都会带来新的见解，完善理解，并带来更有效的解决方案。 五、分析中的自我反思 分析人员在分析阶段工作时，应不断向自己提出探究性问题： 是否已经确定并检查了所有相关的交通模式？是否进行了全面的性能分析？是否考虑了潜在的安全影响？应用程序行为如何影响网络性能？是否进行了基于时间的分析，以了解网络事件的顺序和时间？是否进行了比较分析？是否采用启发式分析来发现不太明显的问题？ 结论：综合分析的力量 通过解决这些问题并应用所讨论的分析技术，分析人员可以全面检查网络数据。这种全面的方法可以带来有意义的见解和有效的问题解决方案，将数据包分析的艺术和科学转化为对网络性能、安全性和可靠性的切实改进。 总之，OIDA 的分析阶段是数据包检查真正发挥作用的地方。在这一阶段，观察、识别和剖析的辛勤工作得到了回报，产生的洞察力可以推动网络运营的实际改进。 当您掌握了分析技术并学会利用 Wireshark 和 IOTA 等工具的强大功能时，您会发现自己不仅仅是在阅读网络流量，而是真正理解了支撑我们互联世界的复杂数字对话。 了解 ITT-IOTA 更多信息，欢迎前往【艾体宝】官方网站

一、问题描述 在许多情况下，网络故障不会直接发生在有专业人员进行网络分析的地方。同时，前往偏远地区既费时又费钱。这意味着网络故障排除人员必须能够进行远程记录，最好还能进行远程分析。然而，这也给网络技术带来了挑战，因为传统的VPN技术需要输入防火墙规则，必要时还需要端口转发。此外，在发送敏感的记录数据时，还存在数据泄露的风险。 二、应用场景 艾体宝IOTA的远程流量采集和存储功能在以下应用场景中非常有用： 分布式网络监控/多站点网络管理 在大规模企业或跨国公司中，网络通常分布在多个地理位置。使用IOTA，可以在各个地点进行数据采集，使用IOTA CM集中分析，而技术人员无需亲自前往每个地点，从而节省时间和成本。 典型企业例如：有多个工厂的公司，有多个基础网络站点的电信公司，业务分布在多个地点的石油和天然气行业等。 列车流量数据采集 铁路应用中的持续可见性和故障排除可能很复杂。工程师必须收集和分析数据，但由于火车不断移动，他们不能总是亲自出现在火车上。如果没有远程捕获和分析功能，工程师可能会错过关键数据点并不得不重新启动测试，从而导致成本增加、延迟和效率低下。 安全事件响应 当出现网络安全事件时，迅速获取和分析流量数据至关重要。远程管理功能使得安全团队可以立即从现场获取数据进行分析和应对，无需花费时间前往现场。 IT外包或第三方管理 在一些公司中，网络管理和监控外包给第三方服务商。这些服务商可以使用IOTA远程管理客户现场的数据采集，提升服务效率。 受限或敏感的访问环境 有些环境（如数据中心、机房、或军事设施）对访问权限有严格限制，技术人员可能无法频繁进入现场。在这些情况下，远程管理功能尤其重要，可以在不打扰现场环境的前提下进行流量采集和监控。 跨时间区的全球支持 对于全球企业来说，技术支持团队可能分布在不同的时间区。远程管理使得技术人员可以在不同时间段对现场数据进行分析和管理，而无需协调复杂的差旅安排。 无法亲自到现场进行数据采集的情况通常包括： 地理位置遥远：客户现场距离技术支持团队非常遥远，出行成本和时间都很高。 紧急情况：网络问题需要立即处理，而前往现场需要时间，无法满足紧急需求。 人员限制：现场环境可能有严格的访问限制，只有特定人员能够进入，这使得外部技术人员难以现场采集数据。 安全和隐私要求：在一些高度安全或敏感的环境中，外部人员的访问受到限制，无法亲自到现场采集数据。 这种情况下，艾体宝IOTA的远程管理功能就显得非常关键和便利。下面我们将展示使用IOTA进行远程流量数据采集的流程。 三、远程分析工作流程 以下流程展示了如何在远程位置使用IOTA进行分析，首先准备IOTA，然后将其发送到远程位置。然后只需按一下按钮，就可以在远程位置开始记录。对于分析，有两种可能的方案：通过ZeroTier VPN进行远程分析，或在本地返回并分析记录的数据。 为远程记录准备IOTA 接口配置页面。 如果我们计划让IOTA从交换机的SPAN端口或TAP接收数据，则不勾选内联模式旁边的复选框。如果计划在两个网络设备之间在线操作IOTA，则勾选内联模式（Inline Mode）复选框。点击“保存”按钮保存设置。如果尚未更改默认管理员密码，我们可以使用屏幕左下角的用户菜单导航至更改密码页面进行更改。如果我们只想在远程位置进行录制，这样的准备工作就足够了。 接口配置页面上设置捕获模式 然后将IOTA发送到远程位置。IOTA到达远程位置后，将与SPAN端口或TAP在线连接。通过附带的电源供电，启动IOTA。 启动成功后，捕获LED灯亮起绿灯。按下开始/停止按钮即可开始记录过程。这不需要任何较高的专业技术知识。捕捉LED灯闪烁表示正在进行流量捕捉。要停止记录时，可按下开始/停止按钮。 然后就可以关闭IOTA并将其送回进行评估。由于数据存储在采用AES 256位加密技术的内部固态硬盘上，因此无需担心在传输过程中丢失或被盗会造成数据保护事故。潜在的攻击者需要有效的凭证才能访问数据。 为远程分析准备IOTA 要进行远程分析，我们需要准备好远程站点上IOTA的IP设置，并准备好ZeroTier VPN。ZeroTier是一种易于设置的VPN服务，只需要传出连接，并通过UDP打洞打开返回路径。因此，它不需要任何端口转发或传入防火墙规则。 网络配置页面中将其设置为DHCP或特定位置的固定IP地址，通过激活远程访问允许远程访问，并用“应用”确认设置。 图2：设置特定站点的IP设置并激活远程访问 要使用ZeroTier，我们需要访问zerotier.com，并创建一个账户。登录后，我们通过“创建网络”按钮创建一个新网络，为其命名，并写下网络ID。为控制加入ZeroTier网络，我们要确保设置了“私有”模式，这意味着管理员必须先授权节点，然后才能允许其访问。ZeroTier会自动生成16位网络ID。 图3：创建名为IOTA的新专用网络 然后，我们在管理电脑上安装ZeroTier客户端。该客户端适用于Windows、macOS、Linux和BSD等操作系统。安装完成后，我们输入16位网络ID，执行“加入网络”功能。 图4：Windows上的ZeroTier客户端 “网络配置”页面上输入ZeroTier网络ID，然后点击“激活”确认输入。 图5：输入16位网络ID并激活ZeroTier 一旦IOTA通过管理界面连接到互联网，它就会出现在网络的ZeroTier管理界面中，必须点击“Auth?”下的复选框进行授权。然后，如图5所示，我们会看到ZeroTier分配的“托管IP”。 图6：ZeroTier中的IOTA授权 我们可以使用该IP地址连接到IOTA网络图形用户界面，以分析流量。 图7：远程使用私有IP登录IOTA界面 总结流程，将IOTA发送到远程位置。IOTA到达远程位置后，将与SPAN端口或TAP在线连接。然后，设备通过管理端口连接到互联网。管理端口使用PoE或连接电源，启动IOTA。 启动成功后，捕获LED亮起绿灯。按下“开始/停止”按钮即可开始记录过程。这不需要任何较高的专业技术知识。捕捉LED灯闪烁表示正在进行流量捕捉。要停止记录时，可按下开始/停止按钮。 或者，也可以通过网络图形用户界面启动和停止记录过程。然后，我们就可以利用这种远程连接直接开始分析，而无需等待耗时的回传。原始数据包将被存储在硬盘里面。具体应用细节可咨询艾体宝工作人员! 四、IOTA的优势 IOTA提供多种记录和分析选项。即使没有深入的现场知识，也可以通过按下按钮来启动和停止记录。由于1或2 TB SSD采用了AES-256加密技术，IOTA还具有很高的安全性。 ZeroTier集成实现了简单的VPN解决方案，无需端口转发或传入防火墙规则，即可直接进行分析，而无需通过远程维护耗费时间。 五、如何远程管理多个IOTA IOTA CM是一款集中管理IOTA EDGE和CORE设备的应用程序。将所有IOTA捕获点的分析汇集到一个界面中，网络管理员可以集中维护一组IOTA设备并执行高级测量，例如捕获点之间的多段分析。IOTA CM 可以管理位于不同地点的多个 IOTA，只要这些 IOTA 可以通过其 IP 地址从 IOTA CM 访问。这是纯粹的 IP 连接。 IOTA CM 不附带（或不需要）vpn 配置等。但是IOTA CM 仍然可与 ZeroTier 协同工作，访问 IOTA，因为 IOTA 支持 ZeroTier。为此，应在 IOTA CM 主机本身或主机上的独立 docker 容器上安装 ZeroTier 客户端。具体应用细节可咨询艾体宝工作人员! IOTA CM的特征 一目了然地监控联网设备 便于设备群管理和维护 以单一视角查看所有IOTA设备收集的元数据 在单一仪表板中比较来自不同捕获点的元数据 多段分析：测量边缘IOTA不同捕获点之间的延迟 集中部署固件更新 基于容器的部署，可灵活集成到任何现代基础设施中 图8：IOTA CM

在网络管理中， 网络流量分析和故障排查是重要环节，如何高效精准地进行网络流量分析和故障排查？来看看利用 ProfiShark数据包捕获，让我们一起探索其中的优势和特点。 一、捕获网络流量的重要性 捕获网络流量涉及访问和记录通过网络传输的数据。捕获网络流量有多种原因和用例。 图 1：捕获网络流量的原因和用例 1、网络故障排除和诊断 第一个原因是网络故障排除和诊断。 网络无法运行或性能不佳的事件通常需要数据包捕获工具来收集数据并分析根本原因。 2、安全监控 安全监控也是一个重要的驱动因素 ，它允许安全或取证团队检测和调查潜在的安全漏洞、入侵和恶意活动。通过检查网络数据包，他们可以识别可疑或未经授权的流量模式，并采取适当的行动。 3、性能问题 捕获流量的另一个原因是性能问题。我们可以使用流量捕获来评估网络上运行的应用程序或服务的性能。它可以帮助优化网络性能，识别数据传输中的瓶颈或低效问题。 还可以捕获流量来验证合规性并完成审计。许多组织必须遵守监管标准和合规要求，其中往往涉及监控和保留网络流量数据。数据包捕获可帮助企业证明数据保留和安全法规的合规性，如使用特定的 TLS 版本和密码。 二、为什么使用专用硬件捕获？ 与基于软件的方法相比，使用专用硬件捕获网络流量具有多项优势。 专用硬件针对数据包捕获进行了优化， 可提供更高的性能和吞吐量，而不会对系统资源造成重大影响 。 另一个方面是精度更高，丢失帧的概率更低 。此外， 专用流量捕获设备可实现高精度硬件时间戳，并在捕获过程和生产网络之间提供隔离， 从而确保运行网络的安全。 交换端口分析仪（ SPAN）将流量导出到捕获主机这样的站点有一些局限性。由于双向流量的发送和接收方向都从单个输出端口发出，因此 SPAN 目标端口超量订阅的可能性很高。TAP 解决方案通过将流量输出到每个方向的单独目标端口来解决这一限制。要接收这两个 TAP 输出，目标端口需要两个网络端口。在笔记本电脑等便携式设备上，这可能是个问题，因为它们很少包含多个以太网接口。 图 2：TAP 与 SPAN ProfiShark 通过将 TAP 与 USB 3.0 输出端口集成来解决这一挑战，该端口具有足够的带宽来聚合 1 Gbit/s 链路的发送和接收方向。 ProfiShark 通过入口端口上的硬件时间戳帮助获得准确的数据包增量和绝对时间，并能够捕获带有前导码的整个帧，包括线路上的 CRC 故障，无论帧速率、突发或帧大小如何。这样，ProfiShark 在便携式外形中提供了无与伦比的性能，使其成为现场捕捉高保真流量的理想选择。 图 3：Profishark 1G 原理图概览 流量捕获可在 ProfiShark 管理器中启动，PCAP 捕获文件可直接保存在用户定义的特定文件夹中。还可进行环形缓冲、分割或停止特定大小和文件。 图 4：直接捕获到用户定义文件夹的捕获选项 三、如何使用 ProfiShark 捕获流量？ ProfiShark 是基于硬件的网络 TAP（流量接入点），可让您精确、可靠地捕获网络流量。 它有两个以太网网络端口： ProfiShark 1G 和 1G+ 有两个 1 GBASE-T 端口，ProfiShark 10G 和 10G+ 有两个用于 10GBASE 连接的 SFP+ 端口。 与其他 TAP 不同的是，它能将捕获的流量导出到 USB 3.0 端口。 USB 端口可连接到运行任何操作系统的 PC。它可以包含硬件时间戳。1G+ 和 10G+ 型号包括用于精确时间戳的 GPS 接收器和用于时间戳同步的 PPS 输入/输出端口。 ProfiShark 支持内联模式（Inline Mode）和 SPAN 模式（SPAN Mode），前者可在生产流量路径中引入，后者可在两个端口上接收带外流量。 图 5：ProfiShark 的操作模式 如果您在内联模式下进行采集， ProfiShark 100M 和 1G 型号将无法接线，这意味着在断电的情况下仍可保持网络连接。还支持 PoE 直通，以便轻松捕获 VoIP 电话或 IP 摄像头流量。 您可以决定是否要直接捕获到磁盘，还是在基于软件的捕获解决方案（例如 Wireshark）或带有 tshark 的 CLI 上使用虚拟以太网接口。基于 Intel 的 Synology NAS 还可以实现长期流量捕获，这在解决间歇性问题或捕获大型数据集时特别有用。 四、应该在哪里捕获流量？ 捕获网络流量的位置取决于您的具体目标以及网络监视或分析任务的性质。在故障排除场景中，应将其放置在靠近发生问题的主机的位置。下图中， ProfiShark 放置在接入交换机和出现问题的客户端之间。 图 6：故障排除场景 五、 ProfiShark 如何帮助发现时间敏感网络中的问题？ 1、时间敏感网络（TSN） 时间敏感网络（ TSN）对网络有一些特殊要求。TSN 定义了一套标准，定义了通过以太网传输时间敏感数据的机制。其中包括音频和视频桥接、汽车应用以及机器人应用等工业流程。 它们对数据包传输中的抖动、高延迟和数据包丢失等变化非常敏感。例如，实时音频视频桥接不可能进行重传。如果传输违反了最后期限，在等待召回丢失的数据包时不会出现延迟，而是在质量下降的情况下继续传输。数据包丢失时也会出现同样的情况，导致音频不流畅或出现机械音、视频像素化或图片出现伪影。 2、 ProfiShark应用于时间敏感网络（TSN） ProfiShark 1G+ 和 10G+ 特别适用于这些环境，因为它们具有 8 ns 分辨率 的硬件时间戳和先进的 GPS/PPS 时间戳功能，可提供高精度的测量。 ProfiShark 能够对所有帧、标签和封装进行完全的第 1 层直通。不会切断 CRC 无效帧或碎片流量。ProfiShark 使我们能够看到抢占式帧，如 IEEE 802.1Qbu 或 802.3br 流量。TSN 故障诊断的另一个挑战是避免在内联模式下引入额外的延迟或抖动。在 ProfiShark 中，这种延迟和抖动是最小且恒定的，因此它完全适用于 IEEE 802.1AS 和 1588 v2 流量。 六、使用 ProfiShark 有哪些优势？ ProfiShark 是用于网络数据包捕获和监控的专用硬件解决方案。它具有多项优势，是寻求高精度数据包捕获和分析的专业人员和组织的重要选择。它非常小巧，适合每个故障排除人员的应急包。ProfiShark 易于部署，在内联模式下不会在 1G 网络链路中造成损失。 这种专用 TAP 可以处理大量网络流量，而不会影响系统资源，因此适用于高速网络。它通过硬件时间戳和附加型号上的 GPS 接收器提供高精度。故障排除人员可以看到整个帧的传输过程，因此甚至可以检测到帧中的 CRC 故障。ProfiShark 管理器可以捕获流量，而无需依赖分析软件。 总结如下，为什么在 TSN网络中使用 Profishark l TSN支持，低抖动 l 故障转移时间短 l 高分辨率时间戳 l 精准抓包 l 高保真跟踪 l 提供 24V 型号 l 一旦 TAP 在网络中就位，监控端口就可以随意连接和断开，而不会中断网络链路

如何使用 Allegro Network 万用表的 TCP 分析确定握手时间 握手需要多少时间？ 在图 1 中，您可以在虹科Allegro 网络万用表的 TCP 统计数据中看到过去 10 分钟的客户端握手次数。在这里，您可以清楚地看到在指定时间段内有延长的响应时间。但为什么会延长呢？是不是互联网上的服务器太远？或者可能是无线局域网太弱？但是这些很快就不再是问题了，因为有了虹科Allegro网络万用表，您可以轻松快速地找出响应时间过长的位置以及原因。 图 1：TCP 统计信息一览 握手时间较长的原因 在图 2 的表中，所有数据都以表格形式显示。在这里，您可以根据各种参数选择是按升序还是降序排序，从而可以快速查看哪个服务器或客户端的平均握手时间最长。 虹科Allegro 网络万用表可以永久记录和分析握手时间。这样做的好处是什么呢？您可以一目了然地看到虚拟机是否存在延迟问题，甚至可能存在的质量问题。虚拟机通常会有这种情况，因为它们都是按照“Best Effort”来运行的。 Best Effort意味着它所分布的计算能力与当前可用的计算能力一样多。 对于一个服务和另一个服务（如备份），这种情况可能很好，因为这里的时间片大小并不重要。另一方面，对于ERP系统等服务，情况看起来却有所不同。因为ERP系统会发送许多小请求，它需要的是立即计算能力。 这个对于快速浏览握手时间也很好。我们曾经遇到过这样的情况，即握手时间在某些时候会经常上升，我们可以很快地判断出是虚拟机出了问题。我们意识到了这是由于主机没有为虚拟机分配足够的处理时间，因此出现重大停顿而造成的原因，其中，机器几乎静止不动，没有回答任何请求。 图 2：重要参数排序表 如果握手时间远远超过40毫秒怎么办？ 这是你应该注意的地方。在这种情况下，通常意味着数据包已到达服务器，但服务器要么负载非常高，要么连接速度太慢。在客户端方向也是如此。如果客户端确认其在接收的数据方面运行缓慢，则可能是客户端或链路过载造成的。 TCP 重新传输 虹科Allegro网络万用表使您能够随时查看 TCP 统计信息。这使您可以缩小问题所在。对于 TCP 重新传输，这同样是可能的。如图 3 所示，您可以在菜单项 TCP 重传下看到连接的所有数据包和重新传输的数据。这使您可以立即查看重复的数据百分比以及总共传输的数据量。 图 3：TCP 重新传输 数据何时出现两次？ 如果数据在同一个位置出现两次，则表示远程站未收到数据。在这种情况下，是设备和接收系统之间存在过载导致的虹科Allegro网络万用表中数据丢失。 实践中的典型用例： 有人抱怨网络太慢。但是如果使用虹科Allegro 网络万用表，您可以直接在服务器上进行测量，以查看其当前响应时间。如果此处未显示任何重新传输，您还可以查看数据在什么时间发送出去。则可以知道是否有网络带宽问题。除此之外，您还可以查看响应时间。如果这些值较低，则可以完全排除网络是导致问题的原因。如果问题出在服务器中或直接在客户端中，这需要很长时间来处理数据。 如何找到无效连接？ 在图 4 中，您可以在”连接无效的 TCP 服务器”选项卡上的 TCP 统计信息下清楚地识别此类无效连接。通过这种方式，您始终可以立即知道哪个IP地址正在发送无效请求，并在必要时采取措施。 无效连接是指发送了 TCP 请求但不显示任何数据。其中一个原因可能是来自外部的攻击。但也可能是有人正在发送连接，但根本不想传输它们，并且还在客户端 – 服务器通信中受到干扰。 在表中，您可能还会看到某些连接包含状态”无效”。如果只传输了几个字节并且已经在那里握手，但连接已经打开了20个小时并且从未彻底地关闭，则可能会出现这种情况。请保持警惕，因为这可能是一次攻击。但请注意，这不是一个安全功能，而是一种早期预警系统。 图 4：查找无效连接 TCP 标志评估的功能 通过这种方式，您可以轻松快速地查看在什么时间使用了多少标志。 这可能表明网络中存在问题，例如，如果突然重置速率增加很多。在这种情况下，您可以按发送或接收最多重置的IP对表进行排序，以找到罪魁祸首。 何时出现零窗口？ 由于应用程序提取数据的速度不够快，所以当数据到达服务器时，始终会出现零窗口。这与操作系统核心中的缓冲区有关。每当数据到达操作系统的速度过快时，缓冲区就会变小。一旦缓冲区用完，TCP 就会发送消息”缓冲区为 0″，即零窗口。这样做的好处是，可以排除网络的问题。这是因为两个设备之间的网络足够快，服务器跟不上的原因。 但同时会有两个可能的原因： 窗口太小，可能会在其中发送数据。 或者应用程序速度太慢，无法接受数据 图 5：TCP 零窗口 在图 5 中所示的菜单项”TCP 零窗口”下，您可以随时查看存在哪些零窗口，还可以跟踪已发送和接收的窗口数。同时，您可以看到操作系统可以缓存的数据量有多大，即所谓的窗口大小。这是在 TCP 连接开始时通过 Windows 缩放因子协商的。Windows 比例因子确定最大大小，并且在连接运行时无法更改。 一般来说，出现这些标志，都是物理布线，交换机，路由器，防火墙没有问题的表现。在这里，问题显然出在终端设备及其性能上。因此，如您所见，TCP分析可帮助您快速排除可能的问题并更接近真正的问题。TCP的最大优点是它还可以与大量协议一起使用，特别是对于SSL等完全加密的流量，因为TCP在ssl中也有使用。 应用示例： 使用虹科Allegro网络万用表，您可以轻松地按发送最多 TCP 零窗口的应用程序进行排序。在我们的例子中，有很多来自备份系统。我们可以通过更仔细地观察看到每秒发送500个零窗口数据包的时间。同时，响应时间也非常慢。这是什么原因呢？ 在”对等”项目下，我们看到从我们的磁盘站传输了66 GB的大容量。在这种情况下，每晚我们都会把中央 NAS 备份到旧 NAS。现在新 NAS 比旧 NAS 更快，也可以更快地发送数据。 使用过滤器排除流量 通常，在安装时，您要么获得大型镜像端口，要么从数据包代理处获得大量数据。为了分析这一点，我们内置了一个网络过滤器。这样，您可以轻松忽略某些不想记录或分析的流量。 此类连接还可以定义为黑名单或白名单。也许您有与您的测量相关的某些IP或MAC滤波器。或者，反之亦然，您希望排除在任何情况下都不应分析的某些计算机。请注意，即使单个数据包已被排除，仍然可以在接口统计信息中看到它们，但这不是Allegro网络万用表的问题，这是因为数据包存在并已注册。但在处理它们之前，它们被过滤掉并在内部丢弃。为了帮助您跟踪这一点，我们已将”过滤流量”部分安装到仪表板中。 如图 6 所示，您将在此处找到以下区域的筛选器函数：IP 地址、子网、IP 对、MAC 地址、VLAN、端口、网络接口筛选器。 筛选时的链接是基于 OR 的，这意味着每个筛选器都是单独应用的。例如，如果同时应用 MAC 筛选器和 IP 筛选器，那么一旦地址遇到该流量，就会将其过滤掉。在相反的情况下，如果您添加了许多IP地址，则它们将被Or链接，并且一旦命中IP地址，就会应用过滤器。 图 6：筛选特定流量 结论 虹科 Allegro网络万用表中的 TCP 分析和握手次数测量功能可以快速分析错误并检测可能的攻击。