SMB2 流量导致网络崩溃?

SMB2 流量导致网络崩溃?

过去几周,我们遇到了严重的网络减速问题,主要是在周五早上。我们运行的是 Windows 7 客户端计算机和 Windows Server 2008 R2 服务器。

通常情况下,网络速度会在 08:55 开始大幅下降,并在 09:20 左右恢复正常

这会影响网络上的所有内容,包括登录、重置密码、打开程序和文件等。在我的客户端机器上,物理内存使用率保持在 40% 左右(正常),CPU 使用率在空闲状态下徘徊在 0-10% 左右。

服务器显示内存使用量大幅增加,并且在上述时间内保持相当高的水平。

我进行过几次 wireshark 捕获,既包括网络速度减慢时,也包括网络运行正常时。

我注意到的主要事情之一是,在速度减慢期间,wireshark 日志中的 SMB2 条目有所增加。

Record Time         Source          Destination     Protocol Length Info
382    3.976460000  10.47.35.11     10.47.32.3      SMB2     362    Create Request File: pcross\My Documents
413    4.525047000  10.47.35.11     10.47.32.3      SMB2     146    Close Request File: pcross\My Documents
441    5.235927000  10.47.32.3      10.47.35.11     SMB2     298    Create Response File: pcross\My Documents\Downloads
442    5.236199000  10.47.35.11     10.47.32.3      SMB2     260    Find Request File: pcross\My Documents\Downloads SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: pcross\My Documents\Downloads SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *
573    6.327634000  10.47.35.11     10.47.32.3      SMB2     146    Close Request File: pcross\My Documents\Downloads
703    7.664186000  10.47.35.11     10.47.32.3      SMB2     394    Create Request File: pcross\My Documents\Downloads\WestlandsProspectus\P24 __ P21.pdf

这些是从我的计算机中以文件服务器为目的地的几百条列表中挑选出来的一些 SMB2 记录。

值得注意的有趣事情之一是,上述示例中的最后一个条目是 PDF 文件。该文件在我的计算机或其他任何人的计算机上均未打开。包含该文件的文件夹也未打开。

当我在网络运行良好时进行另一次捕获时,几乎没有任何 SMB2 条目,显示的条目主要来自 Wireshark。

我们目前有大约 800 台电脑、90 台 Mac 电脑和 200 台笔记本电脑和上网本。我们担心的是,如果这些流量发生在我的电脑上,那么它是否也发生在其他电脑上?如果是,这些电脑是否会加剧网络缓慢的问题?

再次强调,这种情况只会在特定时间发生。我们非常确定这不是我们的防病毒软件。有什么方法可以缩小在特定时间初始化此 SMB 流量的范围吗?

或者如果有人有任何额外的建议或资源链接,我们将不胜感激。

编辑 查看了其他几台计算机上的 wireshark 日志后,我发现我的计算机上服务器上的 Adob​​e Photoshop 文件的 SMB 流量明显增加。它似乎只扫描 Photoshop 文件和相关文件(例如设置等)。我的计算机上装有 CS2(:(),但其他人装有 CS6,有些计算机甚至没有 Photoshop,但仍然很卡。

答案1

您认为问题出在您的 PC 上吗?您是否尝试过拔掉以太网线,看看是否能解决整个网络的问题?

我认为您可能通过仅查看单个 Wireshark 日志对网络范围的问题采取了过于狭隘的看法,您是否尝试过查看交换机和路由器日志并查看是否存在任何错误?

为了找到怀疑导致问题的 SMB 流量来源,我会运行netstat -a并查找使用 TCP 端口 445 的程序(维基百科也说 UDP 端口 137、138 和 TCP 端口 137、139)我会在你的工作站和文件服务器上执行此操作。我还会在文件服务器上设置一些与网络相关的性能监视器,以查看在此期间是否也会出现峰值。

我认为,如果在多个工作站上看不到相同类型的流量,那么暂时使用 SMB 是不安全的。它发生在特定时间,这让人觉得当时有计划的任务、程序或备份正在运行。WSUS 设置和 Windows 更新 GPO 过去曾导致我出现此问题,我会仔细检查它们。

听起来最好的解决方案就是在所有工作站/服务器及其 NIC 上设置某种 SNMP 监控/NMS。Quest 雾灯Solarwinds NPM,可以做到这一点。监控 SNMP 流量后,您将能够看到在那些故障时间内哪些接口的使用率较高。买家要小心,这可能很昂贵。Quest Foglight 可让您监控最多 200 个接口,因此这可能足以获得良好的样本。

答案2

您是否使用了 Windows 配额系统(文件服务器资源管理器)?我们的网络也存在类似的问题,我收到了与您发布的内容类似的 wireshark 日志。

相关内容