網(wǎng)絡(luò)中的數(shù)據(jù)傳輸是不透明的，在不借助網(wǎng)絡(luò)分析系統(tǒng)的情況下，很難完成網(wǎng)絡(luò)問題的故障定位。

摩卡流量分析（Mocha NTA）綜合網(wǎng)絡(luò)分析系統(tǒng)，它通過捕獲并分析網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，有效反映網(wǎng)絡(luò)通訊狀況，幫助網(wǎng)絡(luò)管理人員或非網(wǎng)絡(luò)管理人員快速準(zhǔn)確定位故障點并解決網(wǎng)絡(luò)故障，并快速排查網(wǎng)絡(luò)故障，從而提高網(wǎng)絡(luò)性能，規(guī)避網(wǎng)絡(luò)安全風(fēng)險，增大網(wǎng)絡(luò)可用性價值，并確保整個網(wǎng)絡(luò)的持續(xù)可靠運行。

網(wǎng)絡(luò)時斷時續(xù)、網(wǎng)絡(luò)速度慢、網(wǎng)絡(luò)遭受攻擊卻無法定位，攻擊源等故障一直制約著網(wǎng)絡(luò)的正常運行。

針對整個網(wǎng)絡(luò)資源進行攻擊已成為了新病毒的首選目標(biāo)?，F(xiàn)在一些新的病毒及黑客程序已不在單純依賴郵件來進行傳播，而是利用網(wǎng)絡(luò)端口、系統(tǒng)漏洞來直接進行攻擊。

特別是對于檢測網(wǎng)絡(luò)中DoS/DDoS攻擊、蠕蟲病毒、垃圾郵件等其他網(wǎng)絡(luò)異常，把異常流量通過排名的方式顯現(xiàn)出來，使得網(wǎng)絡(luò)管理員可以快速的定位，采取措施對病毒進行過濾、阻斷和防御。

下面以蠕蟲病毒為例，通過Mocha NTA來查出此問題。

一臺主機感染蠕蟲病毒，若防護不當(dāng)，會導(dǎo)致由于大量感染病毒的計算機不斷向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)包，使網(wǎng)絡(luò)的效率非常低，大大影響網(wǎng)絡(luò)的性能。

首先可通過應(yīng)用排名的查看，對比以前網(wǎng)絡(luò)正常時的排名，比較出此刻的HTTP占用資源最高，由于HTTP協(xié)議是基于TCP的協(xié)議，是有連接的，不可能是光發(fā)不收的，一般來說光發(fā)包不收包是種類似于廣播的應(yīng)用，像UDP這種非連接的協(xié)議。

接下來查看流入流出的TOP排行，分析每臺計算機的流量情況，按源IP、目的IP、源協(xié)議端口、目的協(xié)議端口。其中一個地址發(fā)包的目標(biāo)IP非常多，非常分散，此IP地址所在的主機試圖同網(wǎng)絡(luò)中非常多的主機建立HTTP連接，但沒有得到任何回應(yīng)，而且查看那些地址且根本不是HTTP服務(wù)器，而且發(fā)出這些包的時間間隔非常短，為毫秒級，應(yīng)該不是人為發(fā)出的。

通過以上的分析，我們能夠非?？隙ǖ臄喽?，此IP地址所在主機產(chǎn)生的網(wǎng)絡(luò)流量肯定是異常網(wǎng)絡(luò)流量。很可能是感染了某種采用HTTP協(xié)議傳播的病毒，不斷在網(wǎng)絡(luò)中尋找HTTP服務(wù)器，從而進行傳播。

Mocha NTA綜合網(wǎng)絡(luò)分析系統(tǒng)可以使管理人員對網(wǎng)絡(luò)的流量占用、協(xié)議分布、通訊連接、數(shù)據(jù)包原始內(nèi)容以及整個網(wǎng)絡(luò)的運行情況了如指掌，在網(wǎng)絡(luò)出現(xiàn)時斷時續(xù)、不能正常上網(wǎng)、遭受攻擊故障出現(xiàn)時，快速準(zhǔn)確地定位故障點并將其排除。達(dá)到優(yōu)化網(wǎng)絡(luò)，優(yōu)化業(yè)務(wù)的效果，讓Mocha NTA做的更多，為您創(chuàng)造更好的高品質(zhì)的網(wǎng)絡(luò)服務(wù)。