1、现有NFSEN主要功能为在网络设备上抓取部分数据进行流程和包的分析,以下介绍分析网络中异常流量ip的具体方法:由Home或Graphs的Traffic抓取某一时间段流量比较大IP的详细情况
2、筛选某一时间段所有查询流量异常ip。
3、通过筛选得知所选时间段内流量最大的主机的IP是10.25.128.116
4、通过ip查询该该流量的具体流向找到大户后,接下来要确认的是该用户是以发送端还是接收端在占用流量?以tcp protocol及src ip 10.25.128.116的条件查询其流量
5、改以tcp protocol及dst ip 10.25.128.116的方式确认其流量。
6、经过比对,做为发送端的流量只有6.2G,做为接收端的流量则有422G;很明显的10.25.128.116是做为接收端在下载流量。改以List Flow来查看来源与目的间的关系。
7、发现10.25.128.116主要以12182 port方式在下载10.25.116.96的数据和以39560 port方式在下载10.25.116.94proto tcp and dst ip 10.25.128.116and src port 39560
8、proto tcp and dst ip 10.25.128.116and src port 12182最终由流量来看,10.25.128.116是下载流量最大的ip,其中下载来之10.25.115.96的流量205G,下载来之10.25.115.94的流量217G。
