免责声明:本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。
概述
本文主要介绍Windows实例中带宽使用率较高问题的排查及解决方法。
详细信息
阿里云提醒您:
- 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
- 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
- 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
本文主要通过如下步骤进行介绍。
- 定位问题。找到影响带宽使用率过高的具体进程。
-
分析处理。排查影响带宽使用率过高的进程是否正常,并分类进行处理。
- 对于正常进程:您需要对程序进行优化或者升级带宽。
- 对于异常进程:您可以手动对进程进行查杀,也可以使用第三方安全工具去查杀。
- 操作示例。通过示例介绍排查及解决问题的方法。
定位问题
微软有多个工具可以定位带宽使用率过高的问题,例如任务管理器、资源监视器(Resource Monitor)、性能监视器(Performance Monitor)、Process Explorer、Xperf(Windows Server 2008 以后),抓取系统Full Memory Dump进行检查。在流量大的情况下,您还可以使用Wireshark抓取一段时间的网络包,分析流量使用情况。
提示:Windows Server 2008以上系统,通常使用系统自带的资源监视器监控带宽。
- 在桌面底部单击 开始 菜单,选择 运行。
- 打开运行框后,在框中输入
perfmon -res
,并单击 确定。
- 在资源监视器页面中,查看各进程是否有带宽使用率过高的现象。
- 针对占用资源较高的进程,查看对应的进程ID和进程的程序名。
- 定位进程ID后,结合任务管理器判断程序是否异常并定位程序的具体位置。
- 定位异常进程前,需要在任务管理器中依次单击 查看(V) > 选择列(S)。
- 在弹出的框中选择 PID(进程标识符),单击 确定。
- 在任务管理器的进程页面中,将会增加PID这一项。单击 PID,通过排序,找到之前资源监视器查看到的异常进程。右键单击进程名称,选择打开文件位置,查案进程是不是恶意程序。
分析处理
带宽使用率过高的分析处理
您需要判断影响带宽使用率过高的进程,属于正常进程还是异常进程,并分类进行处理。
正常使用率过高的分析处理
正常情况下,当客户频繁访问业务,或由于Windows自身服务(更新服务等)都可能会占用较高网络流量。针对正常进程导致的带宽使用率过高的情况,请按照如下顺序逐一进行排查。
提示:Windows Server 2008或Windows Server 2012实例建议内存配置在2G或者2G以上。
- 检查后台是否有执行Windows Update的行为。
- 建议在服务器上安装杀毒软件,进行杀毒。如有安装杀毒软件,请检查带宽飙高时,杀毒软件是否在后台执行扫描操作。如果可能,请升级杀毒软件到最新版本,或者删除杀毒软件。
- 检查该ECS内应用程序是否有大量的磁盘访问、网络访问行为或高计算需求。通过尝试增配实例规格的方式,使用更多核数或内存的规格来解决资源瓶颈问题,如升级带宽。
- 若自身服务器配置较高,再去升级配置已经没有太大意义。架构方面也并非是服务器配置越高就越好。此时,您需要尝试进行应用分离,同时对相关程序进行优化。示例说明如下。
问题描述:当一个服务器上面同时部署了MySQL、PHP、Web等多种应用,即使配置比较高,也很容易出现资源负载异常。
解决方法:尝试应用分离,通过不同的服务器去承载不同的应用。比如数据库完全通过RDS来承载,减轻服务器本身的资源消耗和服务器内部大量的调用。而程序优化方面,您可以根据自身的配置状况进行调整,比如调整连接数和缓存配置,以及Web和数据库调用时的各项参数等。
异常使用率过高的分析处理
对于带宽异常使用率过高的情况,可能是被恶意病毒、木马入侵导致的。有时三方恶意程序可能会利用操作系统的svchost.exe或者Tcpsvcs.exe来伪装,引起高带宽的占用。您需要手动对异常进程进行查杀。
提示:若您无法判断进程是否为病毒或木马,建议将进程名称在网上进行搜索后确认。另外,建议您进行进程删除操作前,提前创建快照完成备份。
- 使用商业版杀毒软件,或使用微软免费安全工具Microsoft Safety Scanner,在安全模式下进行扫描杀毒,工具链接如下所示。
https://www.microsoft.com/security/scanner/zh-cn/default.aspx
- 运行Windows Update来安装最新的微软安全补丁。
- 使用MSconfig禁用所有非微软自带服务驱动,检查问题是否再次发生,具体操作请参考如何在Windows系统中执行干净启动。
- 若服务器或站点遭受DDoS攻击或CC攻击等,短期内产生大量的访问需求。您可以登录云安全中心,查看云盾中的防护DDoS攻击是否调整好阈值,并核实是否开启CC防护。如果攻击没有触发到阈值,云盾没有清洗,可以联系售后协助开起清洗。
操作示例
问题描述
Windows实例出现网络流量较大的情况,即服务器网络带宽占用较高,如下图所示。
问题原因
可能存在如下多种原因造成服务器网络带宽占用较高。
- 您的正常应用业务访问频繁,占用较高带宽。
- 恶意病毒、木马引起的网络流量。有时第三方恶意程序可能会利用操作系统的svchost.exe或者Tcpsvcs.exe来伪装,引起高带宽的占用。
- Windows自身服务可能会占用较高网络流量,例如更新服务。
解决方案
通过如下2种方法分析为何占用高流量。
- 使用Windows自带工具资源监视器(Resource Monitor)监控实时流量。
- 在流量大的情况下,使用Wireshark工具抓取一段时间的网络包,分析流量使用情况。
资源监视器
以Windows Server 2008 R2和Windows Server 2012 R2为例,说明如何使用资源监视器监控实时网络流量。
- 登录实例,关于如何登录实例,请参考在本地客户端上连接Windows实例。
- 右键单击任务栏空白处,选择 启动任务管理器。
- 单击 性能,再单击 资源监视器。
- 在资源监视器窗口中,单击 网络。
- 通过资源监视器窗口的 网络活动的进程 、网络活动 、TCP连接 、侦听端口 等信息,可以实时分析实例当前的网络流量情况,找到占用流量高的进程进行分析。
- Windows Server 2008 R2
- Windows Server 2012 R2
- 如果该进程是正常业务进程,确实因为客户端访问量大造成带宽占用高,请酌情考虑升级带宽。
- 如果该进程是名称可疑进程,请尝试直接杀死进程,或者使用专业杀毒软件进行杀毒后观察实例情况。
Wireshark
Wireshark是常用的网络分析工具,您可以在Windows实例上从Wireshark官网下载并安装软件,Wireshark官网链接如下所示。
https://www.wireshark.org/download.html
执行如下步骤,使用Wireshark分析网络流量。
- 登录实例,关于如何登录实例,请参考在本地客户端上连接Windows实例。
- 启动Wireshark,在工具栏中依次选择 Statistics > Conversations。
- 在Conversations页面上,您可以看到所有网络通信,从链路层、IP层、TCP层分别给出了流量的具体情况和通信两端的流量情况。通过抓取一段时间的网络包可以分析究竟是哪些连接、端口占用了较高的流量。
适用于
FAQ
关于此文档暂时还没有FAQ