使用 Flowmon 進行網路疑難排解：封包擷取與流量分析

在網路管理與安全監控領域，封包擷取與流量分析是一種關鍵技術，可協助管理員迅速找出問題並加以解決。本文將介紹如何使用 Flowmon 進行網路故障排除，並透過 Wireshark 進行進一步分析。

封包擷取與問題分析

下載 PCAP 進行封包分析

透過 Flowmon 的封包分析工具與連續擷取功能，我們能夠持續保留所需的封包資料。當發生問題時，我們可以下載特定 IP 位址（例如 193.29.206.1）的流量 PCAP，並在 Wireshark 中開啟進行分析。

分析 1：無法建立 TCP 工作階段

在下圖中，我們可以觀察到使用者與 mail.kapi.cz 之間的通訊狀況：

從圖中我們發現，mail.kapi.cz 解析為 IP 193.29.206.1，這表示 DNS 解析結果正確。然而，在收到 DNS 回應 之後，使用者嘗試建立 TCP 工作階段，但卻未收到來自外部 IP 的回應。此時，我們應檢查 防火牆設定，確認是否允許該通訊。

分析 2：使用者查詢不存在的網域

在流量分析過程中，我們也發現使用者查詢了一個不存在的網域 update.invea.com。這通常可能是 使用者設定錯誤，而非網路相關問題。

使用豐富流量資料進行疑難排解

除了封包擷取，我們還可以使用 Flowmon Probes 監控網路，並透過 Flowmon Collector 收集長達數週的未採樣與非彙整流量統計資料，進一步分析 DNS 解析與流量流向。

分析 3：DNS 查詢與流量監控

在本案例中，我們向 winatp-gw-weu-microsoft.com 提出 DNS 查詢，並透過 Flowmon 進行流量分析。

我們可以觀察到 DNS 伺服器回應的 IP 位址，並追蹤流量的去向。由於 Flowmon 的 Probe 會額外添加 L7 層資訊（來自 DNS 通訊協定），這讓我們更容易識別問題。

分析 4：未收到外部服務回應

在分析使用者與外部服務之間的通訊時，我們發現只有 SYN 封包 被傳送到網路，但未收到外部 IP 位址的回應。

這表示可能需要檢查 防火牆規則。透過 Flowmon，我們可以不僅查看 L3/L4 層資訊，還能深入分析 TCP 工作階段，例如 預設 TCP 視窗大小，協助疑難排解 TCP 連線問題。

分析 5：不存在的網域請求

在流量監控中，我們發現了 flowmonos 這個不存在的網域，因此 DNS 伺服器回覆 NXDomain。

這可能表示使用者輸入錯誤，或某些應用程式發送了無效的查詢。我們可以利用 Flowmon 進行 DNS 監測，防止類似錯誤影響網路效能。

結論

透過 Flowmon 的封包擷取、連續監控與豐富的流量分析功能，我們可以快速發現並解決網路通訊問題。本案例展示了如何利用 Flowmon Probes 及 Flowmon Collector 收集與分析流量數據，以診斷 TCP 連線異常、防火牆阻擋問題 以及 DNS 設定錯誤。隨著網路環境的複雜性提升，這類進階分析工具將成為企業 網路管理與資安防護的重要利器！