Клиент попросил меня взглянуть на их сервер Windows 2008, потому что он работает очень медленно. Сервер работает за брандмауэром Windows (да, я знаю), и я считаю, что приложение, работающее на сервере, подвергается злоупотреблениям.
Я могу увидеть чрезвычайно большое количество tcp-подключений к приложению, если захожу в Resource Monitor и просматриваю Network> TCP Connections. Однако я хотел бы сгруппировать их по IP-адресу, чтобы я мог отследить человека, злоупотребляющего сервером.
Есть ли способ сделать это?
Похоже, что в приведенных выше комментариях мы довольно подробно рассмотрели netstat, что является довольно многообещающим путем, если вы сможете легко его запустить.
Другой путь - это мониторинг сетевого трафика либо на самом блоке, либо на маршрутизаторе / коммутаторе. Такие форматы потоков, как NetFlow / IPFIX / J-flow / sFlow, полезны для получения сводных данных о взаимодействии между хостами и являются обычным методом определения того, кто устанавливает больше всего подключений или использует большую часть полосы пропускания в системе. Это похоже на счет за телефонную связь в сети: вы получаете хосты, порты и количество пакетов / байтов для каждого сеанса. Затем вы можете довольно легко подсчитать, кто чем занимается.
Для этого вам понадобятся две вещи: экспортер потока (если вы не можете легко получить поток от коммутатора / маршрутизатора, вероятно, есть полдюжины бесплатных экспортеров потока Windows, которые вы можете запустить прямо на коробке; Google превратит их вверх довольно легко) и сборщик потоков (то же самое), чтобы получать записи потока и помещать их в формат, который вы можете использовать.
Это больше работы, чем использование netstat, но я думаю, что ответ будет более определенным - вы получите количество и временные метки доступа по IP-адресу и объемам байтов, которых должно быть более чем достаточно, чтобы выбрать правильный виновник (и).