- 确定带宽基线
- 历史数据参考:首先要查看企业网络正常运行时的带宽使用情况记录。这些记录可以从网络监控工具或者互联网服务提供商(ISP)提供的流量报告中获取。了解企业网络在不同时间段(如工作时间、非工作时间)的平均带宽占用、峰值带宽占用等数据,以此作为判断带宽是否异常的基准。例如,一家电商企业在促销活动期间的峰值带宽可能是平时的 3 – 5 倍,但在非促销时段如果出现类似促销活动时的带宽占用情况,就可能存在异常。
- 业务流量模型分析:根据企业的业务类型和运营模式,构建一个合理的业务流量模型。比如,对于一个以视频会议为主要业务的企业,其网络带宽在会议期间会有明显的高峰,主要是视频流数据传输;而在非会议期间,带宽占用应该相对较低。分析正常业务场景下不同应用(如邮件系统、文件共享、客户关系管理系统等)所占用的带宽比例,以便在排查时能够快速定位异常流量是否与正常业务相关。
- 实时监测工具使用
- 网络设备自带监控功能:利用企业网络中的路由器、交换机等网络设备自带的带宽监测功能。许多企业级路由器都有简单的流量统计界面,可以查看每个端口的入站和出站带宽使用情况。通过登录路由器管理界面,查看端口流量数据,确定哪些端口的带宽占用过高。例如,如果发现连接服务器群的端口带宽占用率持续达到 90% 以上,就需要进一步排查服务器是否遭受 DDoS 攻击。
- 专业网络监控软件:部署专业的网络监控软件,如 SolarWinds Network Performance Monitor、PRTG Network Monitor 等。这些软件可以提供更详细的带宽监测数据,包括实时带宽使用率、流量趋势图、应用层协议流量分析等功能。通过在关键网络节点(如核心交换机、服务器网关等)安装监控代理,能够实时捕捉带宽占用情况,并及时发出警报。例如,当带宽占用超过预设阈值(如 80%)时,软件可以通过电子邮件、短信等方式通知网络管理员。
- 流量来源和类型分析
- IP 地址流量分析:确定占用带宽的流量来源。通过网络监控工具查看哪些 IP 地址(包括内部 IP 和外部 IP)产生了大量的流量。对于来自外部的 IP 地址,如果发现有单个 IP 或者少数几个 IP 地址发送了大量的数据包,可能是 DDoS 攻击的源头。同时,也要关注内部网络中的异常 IP,可能是被感染的内部主机参与了 DDoS 攻击(如僵尸网络中的 “肉鸡”)。可以使用命令 “netstat -an”(在 Windows 和 Linux 系统中)查看与服务器建立连接的 IP 地址和连接状态,或者通过网络监控软件的连接分析功能进行查看。
- 协议和应用流量分析:分析占用带宽的流量类型,即这些流量是基于何种网络协议和应用产生的。在企业网络中,常见的协议有 TCP、UDP 等。不同的应用(如 HTTP 用于网页浏览、SMTP 用于邮件传输等)会使用这些协议进行通信。如果发现大量的 UDP 流量占用带宽,且这些 UDP 流量并非来自企业正常的应用(如合法的视频流或语音通信),可能是遭受了 UDP Flood 类型的 DDoS 攻击。可以通过网络监控软件对协议和应用层流量进行分类统计,例如,确定 HTTP 流量、FTP 流量、VoIP 流量等各自所占的带宽比例,从而找出异常的流量类型。
- 与 ISP 合作排查
- 联系 ISP 获取信息:及时与企业的互联网服务提供商联系,请求他们提供网络带宽使用的相关信息。ISP 可以提供更宏观的网络流量数据,如企业网络接入点的总带宽占用情况、是否存在异常的流量峰值以及来自外部网络的流量趋势等。他们还可以协助企业判断这些异常流量是否是在其网络范围内被注入的,或者是否是由于上游网络问题导致的。
- 请求流量清洗服务:如果确定是 DDoS 攻击导致的带宽占用异常,并且企业自身无法有效应对,可以请求 ISP 提供流量清洗服务。ISP 通常有专门的抗 DDoS 设备和技术,可以在网络接入点对恶意流量进行过滤和清洗,将合法流量重新导向企业网络,从而恢复网络带宽的正常使用。