公司新来的运维小李最近被老板叫去谈话,说服务器总在下午三点左右变慢,影响订单提交。他一头雾水,直到同事提醒:先看看网络流量再说。这其实就是典型的需要做网络流量分析的场景。
什么是网络流量分析
简单说,就是抓取和查看设备之间传输的数据包,搞清楚谁在通信、用了多少带宽、有没有异常请求。比如你家Wi-Fi突然变卡,可能是某台设备在后台偷偷下载更新,通过流量分析就能揪出“元凶”。
常用工具有哪些
对普通用户来说,Wireshark 是最直观的选择。它免费、跨平台,能实时捕获局域网内的数据流。安装后打开主界面,选择正在上网的网卡,点“Start”就开始抓包了。
如果你只是想看某个程序用了多少流量,Windows 自带的资源监视器也能应付。按 Ctrl+Shift+Esc 打开任务管理器,切换到“性能”标签,底部点“打开资源监视器”,再进“网络”页,当前活跃进程一目了然。
用 Wireshark 抓一个实际例子
假设你想查手机App是否偷偷上传数据。手机连上家用Wi-Fi,电脑运行 Wireshark 开始捕获。然后在过滤栏输入 ip.addr == 192.168.1.100(换成你手机的IP),画面就只显示这台设备的通信记录。
你会看到一堆协议类型:HTTP、DNS、TLS 等。点开一条 HTTP 请求,能看到访问的域名;如果是 HTTPS,虽然内容加密,但目标服务器IP和端口还是可见的。如果发现频繁连接陌生IP,就得警惕了。
命令行方式快速排查
Linux 或 macOS 用户可以直接用 tcpdump。比如想监听所有来自本机80端口的流量:
sudo tcpdump -i any port 80输出结果会显示源地址、目标地址和数据包大小。加个 -n 参数可以避免反向DNS解析拖慢速度:
sudo tcpdump -i any port 80 -n想要保存数据包留待分析,用 -w 选项:
sudo tcpdump -i any port 80 -w traffic.pcap之后可以用 Wireshark 打开 traffic.pcap 文件慢慢研究。
关注关键指标
分析时别光盯着数据量,几个重点要看清:一是延迟高的连接,可能影响用户体验;二是重复重传的包,暗示网络不稳定;三是大量 SYN 包没有后续响应,可能是扫描或攻击前兆。
比如你发现某IP不断尝试连接你电脑的多个端口,但从未完成三次握手,这种行为就很可疑,可以结合防火墙做进一步处理。
结合业务场景理解数据
电商系统凌晨自动同步库存,那段时间流量上涨是正常的。但如果白天用户操作高峰期,数据库服务器收到大量非业务端口的请求,就得查查是不是配置错了或者有内网渗透风险。
某次咖啡店Wi-Fi断断续续,店主用简易工具一查,发现一台老旧监控摄像头每十分钟就发几MB视频流,直接占满了上行带宽。关掉它,网络立刻恢复正常。