《多网段关联分析技巧.pdf》由会员分享,可在线阅读,更多相关《多网段关联分析技巧.pdf(31页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、多网段关联分析技巧科来软件陈金绚内容介绍内容介绍一、数据流分析是多网段管理分析的出一、数据流分析是多网段管理分析的出需求分析随着信息化的普及和发展,很多用户的网络结构越来越复杂,应用流程涉及的环节越来越多,影响用户体验和交易成功率的因素不再是简单的线路通断或者带宽问题,网络设备、网络策略、安全策略、服务器性能、应用程序及后台数据库其中任一个环节都会影响到网络和业务系统的可用性。而大型政企用户的环境更加复杂,很多问题需要往往几个部门一起配合,消耗大量的时间和精力,也不一定能够解决问题。面对这种复杂的情况,可以采用网络数据包分析的方法,在关键网络节点进行数据包分析,通过数据流的特征,快速的定位到问
2、题的节点。而网络中关键环节比较多,这就要求我们根据实际拓扑与故障的现象,在多个网络节点进行抓包与关联分析。可以说,数据包是网络中最真实、最基础的数据源,通过数据包分析能够掌握网络和应用交易的状况,对网络中的病毒攻击等行为进行追踪取证。数据包分析vs数据流分析然而,很多网络管理员在初次使用数据包分析工具的时候,都会很困惑:面对海量的数据包,我该从何下手去查找问题。虽然,我们进行的是“抓包(packet)”,但如果直接面对数据包,工作量将非常复杂、庞大。如果我们从“数据流(flow)”的角度出发,将繁杂的数据包归入对应的TCP数据会话流中,就能化繁为简,从TCP会话流中分析通信双方每个数据包之间的
3、上下关联性,对比同一个TCP数据流在不同节点的时延、丢包、重置和应用层代码等信息,快速的定位问题。技术要求因此,我们对数据包分析工具的要求不仅仅是简单的抓包、解码,多网段关联分析更需要一系列的技术要求:“数据流(FLOW)”的识别:通过源目标IP地址、源目标TCP/UDP端口号和协议的五元组信息识别属于同一对TCP会话的数据包;“数据流”重组:根据每个数据包的五元组信息和TCP序列号,将同一个TCP通信对的数据包用会话时序图的方式重组;关键指标记录:在时序图中标识出每个数据包之间的时延、丢包、重传、ACK重复和重置等TCP交互的关键指标,定位是哪个方向的网络或应用问题;应用层语句识别:识别通用
4、的TCP/UPD应用层信息(如web、DNS、邮件和数据库等应用),从而定位到响应时延大、响应失败的应用层语句。一、如何通过TCP时序图重组发现问题一、如何通过TCP时序图重组发现问题TCP时序图回溯与重组是把利器网络时延网络时延TCP会话传输数据之前会通过三次握手建立连接,由于三次握手不涉及到应用层数据的查询,所以只要通信双方主机的CPU、内存不处于满负荷状态,终端机器的处理时延几乎可以忽略不计,通过三次握手我们可以获取客户端网络时延和服务器端网络时延,上面的时序图中:服务器端网络时延服务器端网络时延:即“数据包1”与“数据包0”之间的时间差,该值近似于在镜像源端口ping服务器的时延,一般
5、很小;如果服务器的CPU、内存负荷过大,该时延会明显增大;客户端网络时延客户端网络时延:即“数据包2”与“数据包1”之间的时间差,该值近似于在镜像源端口ping客户端的时延,对于远程访问的客户端,能够放映广域网的质量;TCP时序图回溯与重组是把利器应用时延应用时延“数据包3”为客户端的请求包,请求内容为“GET/zhyy/login/”(即帐号为“zhyy”用户的登录验证请求)应用进程时延应用进程时延:“数据包4”为服务器确认收到请求的额“ACK包”,该数据包一般不带应用层的内容,所以与“数据包3”的时间差往往是毫秒级别的数据处理时延数据处理时延:“数据包5”才是带应用层数据的响应包,“数据包
6、5”和“数据包4”之间的时间差,可以判断服务器查询数据的性能(或者后台数据库的性能)TCP时序图回溯与重组是把利器应用成功率:“数据包5”返回的为“HTTP/1.1 200 OK”的成功代码,说明该次应用交易是成功的;TCP连接异常:本次TCP交互中TCP三次握手正常,无重传数据包、重复ACK确认包和异常重置等异常,网络时延也很小,说明网络性能良好,网络策略、安全策略等无异常。某航空公司语音系统排障案例排障思路故障排查故障排查主界面连接分析:主界面连接分析:典型的长连接,客户端每隔几秒钟就发一次保持连接的确保不中断故障排查故障排查控制插件连接分析:控制插件连接分析:没有采用TCP长连接机制,客
7、户但空闲了2090秒(34分钟)后,再次上传请求数据时,得不到服务器的响应故障原因案例一IPS设备bug问题发现案例一IPS设备bug问题发现排障背景背景介绍故障现象:故障现象:新的OA系统上线后,大量集团用户都投诉集团新系统访问缓慢,应用与网络部门均无法找到合理的优化依据解决方法:解决方法:通过科来网络分析技术,将OA系统访问数据流进行回溯及重组分析,透析整个OA访问过程中网络、服务器及客户端存在的问题,定位优化环节排障药店:数据回溯排障药店:数据回溯:方便快捷的回溯OA实际交互的网络数据应用层数据分析能力重组应用层数据分析能力重组:TCP数据流重组,通过语句时延、重传、重置等关键指标发现问题 发现异常丢包分析丢包分析定位问题节点故障解决案例二某OA系统故障排查案例二某OA系统故障排查背景介绍故障现象:故障现象:某单位OA系统业务繁忙时经常会出现访问中断排障难点:排障难点:故障突发性:接到报障后再进行现场排查,故障已经过去网管无应用层分析能力:故障时段设备负载正常,找不到进一步分析的方向解决方法:解决方法:设备部署:采用科来网络回溯分析系统,对web服务器和后台数据库同时进行7*24小时流量监控 流量负载分析故障时段:出口流量负载正常应用层错误分析URL请求:返回错误:流量负载分析故障时段:前端web服务器与后台数据库通信出现问题定位到后台语句
限制150内