如何找出異常流量的癥結？

如何找出異常流量的癥結？
到iT邦幫忙

y005017（iT邦初學者10級）發問：
公司有一條專線串接到其他公司給駐廠人員使用，最近常出現異常流量。目前排除中毒因素，請問要如何找出是哪一臺電腦造成的？

cklin（iT邦初學者8級）：
建議使用網路流量監控軟體，分析網路封包的來源與目的位址。網路封包分析的免費軟體很多，首屈一指的是Ethereal（新版名稱Wireshark），用的人多，中文化、教學說明也多。

如果有固定的時間點、固定的行為模式，大多是程式造成的（這邊指的程式包含使用者自行開發的程式、定期備份軟體、資料同步軟體、惡意程式等），而人為操作造成的網路流量通常不固定。

powerop（iT邦初學者7級）：
1.找出一個所有封包會經過的節點。

既然要監控流量，就要找出一個相關流量都會經過的點。現在都是Switch的環境，當你裝好Wireshark，執行後看到一堆封包，正開心找到元兇時，才發現那些封包都是本機跟別人的流量，別臺機器的流量都被Switch 區隔開啦！

所以環境如有Switch，就需要開一個Mirror Port，把裝好Wireshark的電腦接上那個Port。

2.安裝ntop，找出流量異常的IP。

Wireshark可以看到經過封包裡的每一個bit，但是要先抓住流量的大方向，所以建議用ntop這個監控工具，各種主流的Linux發行版本應該都有。

但ntop沒有提供編譯好的Windows版本，建議下載NTop_XTRA這個別人編譯好的版本（NTop_XTRA_3_18_0.exe），雖然有點舊，但是能跑就好。

3.安裝Wireshark，針對流量異常的IP去看實際封包內容。

安裝Wireshark後，在filter輸入「ip.addr == 192.168.9.78（請替換成流量異常的 IP）」，就可以看到作怪的電腦在傳什麼東西囉。

sniperegg（iT邦初學者10級）：
可以從防火牆報表去看哪一個內部IP在特定時段流量異常。另外，可以裝套Sniffer軟體去抓封包。若你的廠區各網路點都有明確的位置，而且交換器也具備網管功能，那就更好了。利用MRTG偵測各臺交換器流量，每個Port都製作流量表，各Port對應到哪個辦公室、哪個位置，一目了然。