在虚拟主机中查出流量大的站点

做为IDC虚拟主机服务商来说，虚拟主机的稳定性和安全性是至关重要的，当一台虚拟主机被人攻击，又查不出来是哪个域名被攻击，是一件非头疼的事，几十个客户一起打电话来投诉，严重影响了虚拟主机的正常运行，又或者听到同行的技术员抱怨，上面有一个网站带宽跑的太高了，影响了别的网站，弄的 服务器 很卡，也无法很好的查出来。本人长期从事虚拟主机的工作，也深感此点是制约虚拟主机发展的重要因素，所以经过长达一段时间的研究，终于可以解决此类问题，由于水平有限，还望同行业内人士批评指正。

本次的范例是一家IDC正在运行的一台虚拟主机服务器，为了安全，隐藏去关键的域名和IP，其他的不变化，为了追求数据的准确性，不去修改任何数值和参数，尽量还原真实的环境，确保环境重现。

　　本次用到的软件是和Sniffer 、Wildpackets OmniPeek同类软件，应用在 网络 分析和 网络安全 方面的一款国产网络分析软件，名字是《科来网络分析系统》，科来网络分析系统是一个让网络管理者，能够在各种网络问题中，对症下药的网络管理方案，它对网络中所有传输的数据进行检测、分析、诊断，帮助用户排除网络事故，规避安全风险，提高网络性能，增大网络可用性价值。这些网络工具的原理都是对网络进行分析，运用在机房的网络大环境当中的工具，我把他拿过来作为单台服务器的分析工具，可以说是大材小用了。

　　使用该类软件最好有一定的网络基础，比如对协议的了解， OSI参考模型和TCP/IP具体层次、TCP/IP原理，以及一些对网络数据的敏锐，之所以不用Sniffer 、Wildpackets OmniPeek这两款软件，第一是非中文，汉化度不够，第二，可能人性化的程度不高，虽然这两款软件的功能是很强大的，但是不一定适合中国国情，那么选择科来，第一是中国人自己开发的软件，第二，对于本土的习惯和情况做了优化功能。那么下面我们就来开始我们的实验过程。

　　第一， 下载科来网络分析系统 6.4（免费版本）官方地址： [url]www.colasoft.com.cn[/url] ，安装在你的虚拟主机服务器上，安装完毕后需要注册激活，安装提示做就OK了。

　　第二， 打开软件

        第三， 点击过滤器，然后会出现下面的图

 

        第四， 选择从过滤器表中选择

        勾上HTTP，TCP和UDP协议，点确定，点开始

        就会看见正服务器正在抓包，如果数据流过大的话，一会就可以抓几万个包。

      

        这时我们点《会话》选择IP，就可以看见本机上的域名和谁在交互了，从上图我们可以看见，第一行端点1与端点2 61.153.200.90，38秒交互了17M的流量，那么肯定有很大流量从该IP通过，那么我们可以封掉该IP，或者封掉该域名，这样就不会影响该服务器的稳定运行。

　　我们再点击《会话》旁边的《矩阵》、可以看见很恐怖的交互图

   

        从该域名呈现放射性的广播出去，说明该域名与很多IP同时通信，那么我们可以断定该域名就是罪魁祸首。那么可以限制他的流量了。或者直接删除该域名的绑定。以上说的是在服务器没有被攻击的时候只是服务器出现流量过大的情况出现的时候，那么有人问，单个虚拟主机网站被攻击，那么这套软件能不能查出来？答案是肯定的，但是首先有个前提就是你必须在攻击的时候还能正常的上服务器还能打开软件，对于攻击我要说的是，只能查出攻击的是哪个域名，如果别人攻击的是IP，查了也是白查，直接买金盾或者遐迩就好了，我的方法只是说针对别人攻击虚拟主机服务器上的一个域名，这往往是最头疼的。有人还是要说了，即使你查出来又有什么办法，不还是被攻击？不错的，您说的很对，但是我既然查出来的域名，我就知道是哪个网站，我知道是哪个网站，我就知道是谁客户的，那么我就要把域名给解析走