文档

Windows实例中带宽使用率较高问题的排查及解决方法

更新时间:

本文主要介绍Windows实例中带宽使用率较高问题的排查及解决方法。

问题现象

Windows系统的ECS实例中带宽使用率较高。

问题原因

带宽使用率较高可能有以下原因。

  • 您的正常应用业务访问频繁,占用较高带宽。

  • 恶意病毒、木马引起的网络流量。

    有时第三方恶意程序可能会利用操作系统的svchost.exe或者Tcpsvcs.exe来伪装,引起高带宽的占用。

  • Windows自身服务可能会占用较高网络流量,例如更新服务。

解决方案

步骤一:定位问题

微软有多个工具可以定位带宽使用率过高的问题,例如任务管理器、资源监视器(Resource Monitor)、性能监视器(Performance Monitor)、Process Explorer、Xperf(Windows Server 2008 以后),抓取系统Full Memory Dump进行检查。在流量大的情况下,您还可以使用Wireshark抓取一段时间的网络包,分析流量使用情况。

说明

Windows Server 2008以上系统,通常使用系统自带的资源监视器监控带宽。

  1. 在桌面底部单击开始菜单,选择运行

  2. 运行框中输入perfmon -res,单击确定

    1

  3. 资源监视器页面中,查看各进程是否有带宽使用率过高的现象。 2

  4. 针对占用资源较高的进程,查看对应的进程ID和进程的程序名。

  5. 定位进程ID后,结合任务管理器判断程序是否异常并定位程序的具体位置。

    1. 定位异常进程前,需要在任务管理器中依次单击查看(V)> 选择列(S)...3

    2. 在弹出的框中选择PID(进程标识符),单击确定

      4

    3. 在任务管理器的进程页面中,将会增加PID这一项。单击PID,通过排序,找到之前资源监视器查看到的异常进程。右键单击进程名称,选择打开文件位置,查看进程是否为恶意程序。

步骤二:分析处理

判断影响CPU使用率过高的进程属于正常进程或是异常进程,并按照下述相应步骤处理。

可能原因

具体操作

正常进程

一般情况下,当频繁访问业务,或由于Windows自身服务(更新服务等)都可能会占用较高网络流量和CPU 。

说明
  • Windows Server 2008或Windows Server 2012实例建议内存配置在2 GiB或者2 GiB以上。

  • 在使用Windows Server 2012的1 vCPU 1 GiB规格的实例时,若Windows Update服务自动更新,实例的CPU使用率的带宽使用率也会突然升高,这是正常现象。

  • 检查后台是否有执行Windows Update的行为。

  • 建议在服务器上安装杀毒软件进行杀毒。如有安装杀毒软件,请检查CPU使用率较高时,杀毒软件是否在后台执行扫描操作。如果可能,请升级杀毒软件到最新版本,或者删除杀毒软件。

  • 检查该ECS内应用程序是否有大量的磁盘访问、网络访问行为或高计算需求。通过尝试增配实例规格的方式,使用更多核数或内存的规格来解决资源瓶颈问题。更多信息,请参见升降配方式概述

  • 若自身ECS实例配置较高,再去升级配置已无太大意义。架构方面也并非是ECS实例配置越高就越好。此时,您需要尝试进行应用分离,通过不同的服务器去承载不同的应用,同时对相关程序进行优化。

    比如数据库完全通过RDS来承载,减轻ECS实例本身的资源消耗和ECS实例内部大量的调用。而程序优化方面,您可以根据自身的配置状况进行调整,具体的操作有调整连接数、缓存配置、Web和数据库调用时的各项参数等。

异常进程

对于CPU异常使用率过高的情况,可能是被恶意病毒、木马入侵导致的。有时三方恶意程序可能会利用操作系统的svchost.exe或者Tcpsvcs.exe来伪装,引起高CPU的占用。您需要手动对异常进程进行查杀。

说明

若您无法判断进程是否为病毒或木马,建议将进程名称在网上进行搜索后确认。另外,建议您进行进程删除操作前,创建快照完成备份。具体操作,请参见创建一个云盘快照

  • 使用商业版杀毒软件,或使用微软免费安全工具Microsoft Safety Scanner,在安全模式下进行扫描杀毒。

  • 运行Windows Update来安装最新的微软安全补丁。

  • 使用MSconfig禁用所有非微软自带服务驱动,检查问题是否再次发生,具体操作,请参见如何在Windows系统中执行干净启动

  • 若服务器或站点遭受DDoS攻击或CC攻击等,短期内产生大量的访问需求。您可以登录云安全中心,查看云安全中心中的防护DDoS攻击是否调整好阈值,并核实是否开启CC防护。如果攻击没有触发到阈值,云安全中心没有清洗,可以联系售后协助开起清理。

示例说明

问题现象

Windows实例出现网络流量较大的情况,即服务器网络带宽占用较高,如下图所示。

问题原因

带宽使用率较高可能有以下原因。

  • 您的正常应用业务访问频繁,占用较高带宽。

  • 恶意病毒、木马引起的网络流量。

    有时第三方恶意程序可能会利用操作系统的svchost.exe或者Tcpsvcs.exe来伪装,引起高带宽的占用。

  • Windows自身服务可能会占用较高网络流量,例如更新服务。

解决方案

通过如下2种方法分析为何占用高流量。

  • 使用Windows自带工具资源监视器(Resource Monitor)监控实时流量。

  • 在流量大的情况下,使用Wireshark工具抓取一段时间的网络包,分析流量使用情况。

资源监视器

以Windows Server 2008 R2和Windows Server 2012 R2为例,说明如何使用资源监视器监控实时网络流量。

  1. 远程连接ECS登实例。

    具体操作,请参见连接方式概述

  2. 右键单击任务栏空白处,选择启动任务管理器

  3. 单击性能,再单击资源监视器(R)...

  4. 在资源监视器窗口中,单击网络

  5. 通过资源监视器窗口的网络活动的进程网络活动TCP连接侦听端口等信息,可以实时分析实例当前的网络流量情况,找到占用流量高的进程进行分析。

    • Windows Server 2008 R2

    • Windows Server 2012 R2

  6. 分析处理。

    • 如果该进程是正常业务进程,确实因为客户端访问量大造成带宽占用高,请酌情考虑升级带宽。

    • 如果该进程是名称可疑进程,请尝试直接杀死进程,或者使用专业杀毒软件进行杀毒后观察实例情况。

Wireshark

Wireshark是常用的网络分析工具,您可以在Windows实例上从Wireshark官网下载并安装软件。

执行如下步骤,使用Wireshark分析网络流量。

  1. 远程连接ECS登实例。具体操作,请参见连接方式概述

  2. 启动Wireshark,在工具栏中依次选择Statistics>Conversations

  3. 在Conversations页面上,您可以看到所有网络通信,从链路层、IP层、TCP层分别给出了流量的具体情况和通信两端的流量情况。通过抓取一段时间的网络包可以分析究竟是哪些连接、端口占用了较高的流量。