为了追溯源头，您首先需要弄清楚哪个设备正在生成流量。在我看来，最好的办法是设置某种流量收集器。通常有两种方法可以做到这一点，

• 从设备导出流
• 生成流的软件分析

大多数高端网络设备都会生成某种流记录，例如 sFlow、jFlow 或 NetFlow。这些由路由器直接产生并发送到收集器。然后，您将使用某种分析工具，例如flow-tools或nfsen / nfdump来处理记录。

使用其他设备将涉及以某种方式获取所有流量的副本，通常使用水龙头或在您的边界设备上设置镜像/跨度/监控端口。分接头是一种物理设备，您可以将其放置在连接中，它将以电气方式复制信号。镜像端口在网络设备本身上配置，并将所有数据包的副本从一个交换机端口发送到另一个交换机端口。大多数“企业级”设备都支持这一点，但对于较低级别的设备，可能需要抽头。

获得数据副本后，您将需要获取流量并将其转换为流量记录的东西。有许多商业产品，但我最熟悉的是 Qosient 出品的开源产品Argus 。它将处理接口上的数据包，很像 tcpdump，并生成包含流记录的数据文件。

无论您是出口流程、商业产品还是 Argus，您现在都拥有分析所需的一切。这些收集工具中的任何一个都将包含所有必要的工具来生成您想要的带宽报告。或者只是你想要的任何类型的报告，真的。

我敢肯定这听起来有点矫枉过正，但结果非常棒。这些类型的记录对于网络故障排除、事件响应、取证、计费等非常宝贵。

在跟踪这一点方面，我倾向于从查看流量开始，然后缩小到/从地址的范围。

开始此操作的最佳位置可能是在防火墙设备上。可能有某种程度的监控可用，以显示哪些端口正在产生多少流量。从中您应该能够了解哪个端口最适合嗅探流量（例如，从生成最上游流量的端口开始）

根据您的网络布局，这可能会将您引导至特定系统或一组系统，但您应该能够将端口嗅探器附加到已识别的防火墙端口上您有关源/目标 IP 地址和正在使用的协议的信息...