Windows云服务器网络QoS超限怎么办？

问题描述

使用 Windows 系统的弹性云服务器时，出现如下现象：

• 服务响应时长较长或出现访问超时等问题。
• 通过ECS控制台查看实例网络指标监控时，发现网络带宽使用率较高。

  参考值：当前网络流量带宽使用率>80%，可认为网络流量带宽使用率较高。

• 收到网络流量带宽使用率超过设定阈值的告警信息。

可能原因

带宽使用率较高可能有以下原因：

• 正常业务频繁访问，导致占用较高带宽。
• 恶意病毒、木马引起的网络流量。
  

  有些情况下，第三方恶意程序可能会利用操作系统中的svchost.exe或tcpsvcs.exe进行伪装，从而导致以上被伪装进程的带宽使用率较高。

• Windows实例自身服务（例如：Windows Update服务）占用较高网络流量。

处理方法

1. 登录弹性云服务器，具体操作，请参见Windows ECS登录方法概述。
2. 使用工具进行定位。

   可通过多种工具定位带宽使用率过高的问题，并且还可以通过Wireshark进行抓包，进一步分析流量数据包。

   • 工具一：在搜索框搜索并打开“资源监视器”，选择“网络”页签，查看带宽使用率过高的进程。

     若需要查看进程的详细信息，可以用任务管理器，在进程页签中，找到从资源管理器中识别到的异常进程，右键该进程选择属性、转到详细信息或打开文件位置，以此判断是否为恶意程序。

     图1 资源监视器
     
   • 工具二：如果在资源监视器中未发现带宽使用率较高的进程，但实例带宽使用率依然很高，很可能是因为外部服务在进行访问。

     可以通过微软官方提供的TCPView工具进行分析。

     1. TCPView可以显示系统上所有TCP和UDP网络连接的详细列表，包括本地和远程地址以及TCP连接的状态，下载链接：TCPView。
     2. 双击打开即可查看网络带宽详情。
        图2 TCPView
        
   • 工具三：如需对流量数据包进行深入分析，可以通过Wireshark进行数据包的捕获与分析。
     1. 安装并打开Wireshark，下载地址：Wireshark。
     2. 选择“捕获 > 选项”，在捕获窗口根据接口名称或对应的IP地址选择需要进行抓包的网络，然后单击开始。
        图3 捕获选项
        
     3. 在工具栏中选择“统计 > 会话”。
     4. 在会话窗口，可以看到所有网络通信，从链路层、IP层、TCP层分别给出了流量的具体情况和通信两端的流量情况。
     5. 通过抓取一段时间的网络包可以分析具体占用较高流量的连接、端口。
        图4 网络包
        
3. 根据网络带宽使用情况进行处理。
   • 场景一 异常用户程序/进程长时间占用大量网络资源，或非法IP地址恶意访问服务导致网络负载较高。
     1. 通过“任务管理器”或“资源监视器”中定位到该进程，右键点击该进程，选择“结束程序”即可。
        

        结束进程前请确保您了解该进程的相关信息，避免误操作导致业务中断。

     2. 通过安全组对非法IP地址进行拦截，详情可参考配置安全组规则。
     3. 如果怀疑该进程属于恶意程序，可以进行查杀，可参考病毒查杀。
     4. 若服务器或站点遇到DDoS攻击或CC攻击等情况，将会在短期内产生大量请求。可以使用企业主机安全进行主机防御，按需设置防护DDoS攻击的阈值、开启CC防护。
   • 场景二：正常用户程序/进程长时间占用大量网络资源，或有指定IP地址访问服务导致网络负载较高。
     1. 检查后台是否有执行WIndows Update的行为。
     2. 升级实例带宽，详情可参考修改弹性公网IP的带宽。
        

        若已经配置了最大带宽仍无法满足对带宽的需求，建议考虑进行应用分离，通过不同服务器承载各个应用服务，如可以用RDS承载数据库服务等。

     3. 单个业务程序/进程偶发网络资源占用较高，但持续时间较短且频率较低。此时需要优化业务程序，调整链接数、缓存配置及数据库配置参数等应用配置参数。
     4. 若没有单个程序/进程占用网络资源，但整体网络负载较高时，说明业务正常运行所需网络资源性能大于当前网络带宽，可进行带宽升级操作，详情可参考修改弹性公网IP的带宽。