数据包大小与网络异常

数据包大小与网络传输效率

网络中传输的数据包的大小是不一样的，每个网络中的数据包大小分布也是不同的，这取决于每个网络中的实际应用情况。 一般来说，网络中的最小包和最大包是最多的，这是由于目前网络中应用最多的协议 TCP/IP 的实际传输情况造成的（TCP 握手包及各种标志位等数据包都是小包，而在数据传输时一般是大包），但不同的网络中包大小分布是不同的。

下图是一台监控小型办公室网络的分析仪提供的数据包大小统计，该网络正常运行，可以看出，最小包和最大包的数量是最多的。

网络中的包大小分布能够非常大地影响网络的实际传输性能，这能决定网络的工作效率，也就是网络带宽的实际工作效率。

网络中传输的数据包大小越大，网络的效率越高，而当网络中传输的数据包不断变小时，网络的实际吞吐能力也下降。 在实际应用中，这种现象表现得更加明显，网络中小包本身承载的有效应用载荷就更小，实际应用数据传输效率更低。

包大小分布的异常和网络异常

网络中小包占的比率很高会造成网络的实际传输性能的严重下降,从而造成网络异常,并导致网络应用无法正常运行。 因此,在感觉到网络性能非常差时,作为网络管理人员,应该考虑可能是由于网络中小包过多引起的。

事实上,感染病毒的计算机可能会发出大量的小包，某些网络攻击(如SycFlood)也会发出大量的小包,这些都会对网络造成极大的伤害,影响网络的正常运行。 因此及早发现网络中包大小分布的异常可以帮助网络管理员及早发现网络异常。 想要发现网络中包大小分布的异常,首先你要知道你的网络正常情况下的包大小分布的实际情况,想要得到网络中正常的包大小分布数据,必须对网络流量进行长时间的监控分析。 AnaTraf流量分析仪能够长期监控网络，提供数天、数周、数月的历史流量分析。

案例：数据中心网络性能异常下降原因分析

某用户的网络是一个 IDC 网络环境，包括局域网和互联网接入，其中互联网接入为两条千兆以太网，内部局域网多是寄放的服务器主机。该网络出现网络性能突然下降，但没有发现网络设备出现异常。

• 网络性能下降，分析链路利用率和数据包大小分布

• 小包占比大，网络传输效率低

• 找出发包最多的主机，定位问题

通过部署的 AnaTraf 流量分析仪发现，链路带宽利用率为 28% ，基本正常。每秒数据包达到 18 万，相对较大，在历史数据包曲线上呈现一个明显的峰值。 正常情况下，如果网络中数据包的平均大小为 512B，那么当链路利用率为 28% 时，每秒数据包数量在 68000个左右（1000*28%*1000*1000/8/512）。每秒 18 万个数据包不太正常。 通过数据包大小统计进一步发现，小包占的比例非常高，65~128字节的小包占总流量的 62.42%，当时网络中的平均包大小只有 195B。我们知道，小包过多会导致网络的效率大大降低。

找出发包最多的主机

在 IP 分析模块的 IP 表中根据每秒数据包进行排序，很快就发现一台主机的每秒发包数高达 7 万，远远高于其他主机。 进入该 IP 的详细信息，分析仪提供该 IP 的 IP pairs，以及流量成分分析。在详细信息中发现，该 IP 地址的 IP pairs只有一个，发出的流量均为 DNS 流量。 这是一种典型的网络攻击行为，黑客首先攻击即存在 IDC 的网络主机，在夺得控制权后利用该主机向目标主机发起 DoS（拒绝服务）攻击。