怎樣通過流量分析來檢測病毒

　　網絡中的數據傳輸是不透明的，在不借助網絡分析系統的情況下，很難完成網絡問題的故障定位。

　　摩卡流量分析（Mocha NTA）綜合網絡分析系統，它通過捕獲並分析網絡中傳輸的數據包，有效反映網絡通訊狀況，幫助網絡管理人員或非網絡管理人員快速准確定位故障點並解決網絡故障，並快速排查網絡故障，從而提高網絡性能，規避網絡安全風險，增大網絡可用性價值，並確保整個網絡的持續可靠運行。

　　網絡時斷時續、網絡速度慢、網絡遭受攻擊卻無法定位，攻擊源等故障一直制約著網絡的正常運行。

　　針對整個網絡資源進行攻擊已成為了新病毒的首選目標。現在一些新的病毒及黑客程序已不在單純依賴郵件來進行傳播，而是利用網絡端口、系統漏洞來直接進行攻擊。

　　特別是對於檢測網絡中DoS/DDoS攻擊、蠕蟲病毒、垃圾郵件等其他網絡異常，把異常流量通過排名的方式顯現出來，使得網絡管理員可以快速的定位，采取措施對病毒進行過濾、阻斷和防御。

　　下面以蠕蟲病毒為例，通過Mocha NTA來查出此問題。

　　一台主機感染蠕蟲病毒，若防護不當，會導致由於大量感染病毒的計算機不斷向網絡中發送數據包，使網絡的效率非常低，大大影響網絡的性能。

　　首先可通過應用排名的查看，對比以前網絡正常時的排名，比較出此刻的HTTP占用資源最高，由於HTTP協議是基於TCP的協議，是有連接的，不可能是光發不收的，一般來說光發包不收包是種類似於廣播的應用，像UDP這種非連接的協議。

　　接下來查看流入流出的TOP排行，分析每台計算機的流量情況，按源IP、目的IP、源協議端口、目的協議端口。其中一個地址發包的目標IP非常多，非常分散，此IP地址所在的主機試圖同網絡中非常多的主機建立HTTP連接，但沒有得到任何回應，而且查看那些地址且根本不是HTTP服務器，而且發出這些包的時間間隔非常短，為毫秒級，應該不是人為發出的。

　　通過以上的分析，我們能夠非常肯定的斷定，此IP地址所在主機產生的網絡流量肯定是異常網絡流量。很可能是感染了某種采用HTTP協議傳播的病毒，不斷在網絡中尋找HTTP服務器，從而進行傳播。

　　Mocha NTA綜合網絡分析系統可以使管理人員對網絡的流量占用、協議分布、通訊連接、數據包原始內容以及整個網絡的運行情況了如指掌，在網絡出現時斷時續、不能正常上網、遭受攻擊故障出現時，快速准確地定位故障點並將其排除。達到優化網絡，優化業務的效果，讓Mocha NTA做的更多，為您創造更好的高品質的網絡服務。