Bandbreiten-Monitoring richtig eingesetzt – Fünf Ursachen für plötzliche Traffic-Spitzen

Sobald ein IT-Team eine Lösung zur Überwachung von Bandbreiten installiert hat, steigen die Erwartungen und das Team wird neugierig: „Welches Bild zeichnet die Lösung über unseren Netzwerk-Traffic? Wo und wann ist die Auslastung zu hoch – und warum?“
Die meisten Bandbreiten-Monitoring Lösungen machen es für IT-Teams sehr einfach, ungewöhnliche Spitzen in ihrem Netzwerk-Traffic zu erkennen. Dazu stellt die Software die Daten zur Bandbreite grafisch dar. Die Herausforderung für die IT-Teams besteht jetzt darin, die Ursachen für den Anstieg zu identifizieren.

Es ist die Aufgabe der Monitoring-Software, den IT-Verantwortlichen zu sagen: „Es sieht ganz so aus, als ob Ihr da ein Problem in eurem Netzwerk habt; das solltet ihr euch mal ansehen.“ Aber es ist nicht immer ganz so einfach, in – wenn man so will – den „Kopf eines Netzwerkes“ hineinzuschauen.

Der Packet Sniffer in PRTG Network Monitor (Bild: Paessler AG)

Bei Paessler arbeiten wir seit Jahren mit unseren Mitarbeitern und Kunden daran, die Ursachen für plötzliche Traffic-Spitzen zu identifizieren. Zwar ist jedes Netzwerk anders; nichtsdestotrotz ist es uns über die Jahre mithilfe des Feedbacks unserer Kunden gelungen, die fünf häufigsten Gründe für diese Spitzen im Netzwerk-Traffic zu identifizieren.

Die fünf häufigsten Gründe für plötzliche Traffic-Spitzen sind:

1. Backups über das LAN: Viele Backup-Lösungen können so eingestellt werden, dass sie zu einer bestimmten Zeit ihre Arbeit verrichten. Allerdings können sie auch enorme Lastspitzen verursachen, sodass deren Einsatzzeitpunkt clever gewählt werden sollte.
2. Remote Backup-Lösungen: In vielen Netzwerken kommen Cloud-basierte Backup-Lösungen zum Einsatz. Große Backups hochzuladen, kann jedoch die Internet-Verbindung enorm belasten und verlangsamen.
3. Virenscanner- oder andere Software-Updates, die im Netzwerk stattfinden, sind ein häufiger Grund für plötzliche Traffic-Spitzen.
4. Probleme mit dem Mail-Server: Wir haben schon oft beobachtet, dass ein fremder Mail-Server versucht, eine E-Mail mit einem z.B. 15 Megabyte großen Anhang an den Mail-Server eines Unternehmens zu senden – wieder und wieder. Selbst wenn der Ziel-Server die Annahme verweigerte und die E-Mail löschte, hörten die Versuche des fremden Mail-Servers nicht auf. Die Ursache in diesem Szenario: Die beiden vorhandenen SMTP-Implementierungen waren schlicht inkompatibel. Um das Problem zu lösen, musste der Mail-Server des Unternehmens so eingestellt werden, dass er die IP-Adresse des fremden Mail-Servers blockierte.
5. Infektionen mit Malware und Versuche, ein Netzwerk zu hacken, können ebenfalls plötzliche Spitzen im Traffic eines Netzwerkes verursachen. Dies kann aber auch dabei helfen, Hackerangriffe zu identifizieren und Gegenmaßnahmen zu ergreifen. So wird Netzwerk Monitoring auch zu einem wichtigen Bestandteil des IT-Security-Konzeptes.

Bandbreiten-Monitoring mit PRTG Network Monitor (Bild: Paessler AG)

Kalkulieren Sie diese Arbeitszeit mit ein

Diese Top 5 zeigen nur einige, besonders kritische Situationen. Es gibt viele andere Gründe für plötzliche Traffic-Spitzen, beispielsweise Downloads großer Dateien durch einen einzelnen Nutzer, lange Videokonferenzen oder Hardware-Ausfälle. Das Wichtigste ist, den Grund für einen solchen Anstieg zu identifizieren. IT-Abteilungen können diese Liste als erste Richtlinie nutzen, wenn ihre Bandbreiten-Monitoring-Lösung eine Spitze anzeigt. Die beste und einzige Möglichkeit für IT-Mitarbeiter, den exakten Grund für plötzliche Traffic-Spitzen zu bestimmen, ist gutes altmodisches Network-Troubleshooting – denken Sie daran, dafür entsprechende Arbeitszeit einzuplanen.

Der Sunburst View in PRTG Network Monitor zeigt den Zustand des Netzwerks auf einen Blick (Bild: Paessler AG)

Wir haben im Folgenden drei grundlegende Schritte definiert, die Ihnen helfen können, Gründe für Traffic-Spitzen zu identifizieren:

1. Versuchen Sie innerhalb der Spitzen ein Muster zu finden. Treten sie in einigermaßen gleichmäßigen Intervallen auf? Treten sie nur während der Geschäftszeiten auf, (Dann ist es wahrscheinlicher, dass ein Nutzer die Probleme verursacht), oder später? (Dann ist es wahrscheinlich ein Terminierungsproblem).
2. Wenn Sie ein Muster identifiziert haben, versuchen Sie weitere Monitoring-Punkte zu finden, die ähnliche Muster aufweisen. Vergleichen Sie die Muster mit Prozessen in Ihrem Netzwerk. (tritt beispielsweise zusammen mit den Traffic-Spitzen häufig eine hohe CPU-Auslastung auf?). PRTG Network Monitor verfügt über die Funktion „Sensor Similarity“. Damit lassen sich alle an PRTG angeschlossenen Sensoren auf solche Muster hin überprüfen. Diese Funktion kann sehr hilfreich dabei sein, versteckte Korrelationen
3. Analysieren sie die den Traffic mit einem Packet Sniffer oder einem Flow Management Tool. In Netzwerken mit modernen Switches ist das vielleicht nicht so einfach, aber es ist die beste Möglichkeit, herauszufinden, welches Computersystem die Probleme verursacht.

Vorsicht vor „falschen“ Traffic-Spitzen

Es gibt auch immer noch die Möglichkeit, dass die Traffic-Spitzen, die ein Bandbreiten-Monitoring anzeigt, gar nicht real sind. Sie könnten beispielsweise auch auf fehlerhafte Soft- oder Hardware zurückgehen. In SNMP-basierten Systemen gehen solche „falschen“ Traffic-Spitzen häufig auf „counter-overflows“ oder „counter-rollovers“ zurück. Da die meisten SNMP Geräte 32-Bit-Counter nutzen, um die Bytes zu zählen, die über eine Datenverbindung gesendet werden, kann es in Abhängigkeit von der Bandbreitenausnutzung dazu kommen, dass die Werte die 32-Bit-Grenze erreichen.

Hier erfahren Sie mehr über Bandbreiten-Monitoring mit PRTG Network Monitor.