1.環境簡介
　　這是一個對某網絡系統中廣域網部分的日常流量分析，我們在其廣域網鏈路上采用Sniffer進行流量捕捉，并把產生流量最多的協議HTTP協議的網絡流量過濾出來加以分析，分析過程及結果如下。
2.找出產生網絡流量最大的主機
　　我們分析的第一步，找出產生網絡流量最大的主機，產生網絡流量越大，對網絡造成的影響越重，我們一般進行流量分析時，首先關注的是產生網絡流量最大的那些計算機。
　　我們利用Sniffer的Host Table功能，將所有計算機按照發出數據包的包數多少進行排序，結果如下圖。

　　從上圖中我們可以清楚的看到網絡中計算機發出數據包數量多少的統計列表，我們下面要做的是對列表中發出數據包數量多的計算機產生的流量進行分析。通過Host Table，我們可以分析每臺計算機的流量情況，有些異常的網絡流量我們可以直接通過Host Table來發現，如排在發包數量前列的ip地址為22.163.0.9的主機，其從網絡收到的數據包數是0，但其向網絡發出的數據包是445個，這對HTTP協議來說顯然是不正常的，HTTP協議是基于TCP的協議，是有連接的，不可能是光發不收的，一般來說光發包不收包是種類似于廣播的應用，UDP這種非連接的協議有可能。
同樣，我們可以發現，如下IP地址存在同樣的問題：

IP 地址

發包數量

收包數量

22.96.76.155

300

0

21.202.96.250

243

30

21.211.36.252

221

0

22.57.1.119

189

0

22.11.134.72

147

0

21.199.151.90

129

4

22.1.224.202

109

13

21.204.80.42

109

0

這樣的主機還有很多。

分析這些主機的網絡流量
　　下面是我們對部分主機的流量分析。首先我們對IP地址為22.163.0.9的主機產生的網絡流量進行過濾，然后查看其網絡流量的流向，下面是用Sniffer的Matrix看到的其發包目標。

我們可以看到，其發包的目標地址非常多，非常分散，且對每個目標地址只發兩個數據包。
通過Sniffer的解碼（Decode）功能，我們來了解這臺主機向外發出的數據包的內容，如圖。

　　從Sniffer的解碼中我們可以看出，該主機發出的所有的數據包都是HTTP的SYN包，SYN包是主機要發起TCP連接時發出的數據包，也就是IP地址為22.163.0.9的主機試圖同網絡中非常多的主機建立HTTP連接，但沒有得到任何回應，這些目標主機IP地址非常廣泛（可以認為是隨機產生的），且根本不是HTTP服務器，而且發出這些包的時間間隔非常短，為毫秒級，應該不是人為發出的。
　　通過以上的分析，我們能夠非常肯定的斷定，IP地址為22.163.0.9的主機產生的網絡流量肯定是異常網絡流量。該主機發出的網絡流量是某種軟件自動發出的，很可能是感染了某種采用HTTP協議傳播的病毒，不斷在網絡中尋找HTTP服務器，從而進行傳播。
　　我們在來分析一下IP地址為22.1.224.202的主機產生的網絡流量，就能清楚的看到感染病毒的計算機的網絡行為軌跡。

　　從上面兩張圖中我們可以清楚的看到，IP地址為22.1.224.202的主機先向網絡中不斷發出HTTP請求，尋找HTTP服務器，在發現HTTP服務器并與之建立連接后，緊接著就試圖利用IIS的漏洞將病毒傳播到目標主機。
　　正式由于大量感染病毒的計算機不斷向網絡中發送數據包，而且是小數據包，使網絡的效率非常低，大大影響網絡的性能，并導致業務應用的無法正常運行，給用戶帶來很大損失。采用協議分析的方法，能非常直觀且快速的發現這些計算機，幫助網絡治理人員快速確定并解決問題。