《多网段关联分析技巧》-公开·课件设计.ppt

多网段关联分析技巧 科来软件 陈金绚 内容介绍 一、数据流分析 是多网段管理分析的出 需求分析 随着信息化的普及和发展，很多用户的网络结构越来越复杂，应用流程涉及的环节越来越多，影响用户体验和交易成功率的因素不再是简单的线路通断或者带宽问题，网络设备、网络策略、安全策略、服务器性能、应用程序及后台数据库……其中任一个环节都会影响到网络和业务系统的可用性。 而大型政企用户的环境更加复杂，很多问题需要往往几个部门一起配合，消耗大量的时间和精力，也不一定能够解决问题。 面对这种复杂的情况，可以采用网络数据包分析的方法，在关键网络节点进行数据包分析，通过数据流的特征，快速的定位到问题的节点。而网络中关键环节比较多，这就要求我们根据实际拓扑与故障的现象，在多个网络节点进行抓包与关联分析。 可以说，数据包是网络中最真实、最基础的数据源，通过数据包分析能够掌握网络和应用交易的状况，对网络中的病毒攻击等行为进行追踪取证。 数据包分析vs数据流分析 然而，很多网络管理员在初次使用数据包分析工具的时候，都会很困惑：面对海量的数据包，我该从何下手去查找问题。虽然，我们进行的是“抓包（packet）”，但如果直接面对数据包，工作量将非常复杂、庞大。如果我们从“数据流（flow）”的角度出发，将繁杂的数据包归入对应的TCP数据会话流中，就能化繁为简，从TCP会话流中分析通信双方每个数据包之间的上下关联性，对比同一个TCP数据流在不同节点的时延、丢包、重置和应用层代码等信息，快速的定位问题。 技术要求 因此，我们对数据包分析工具的要求不仅仅是简单的抓包、解码，多网段关联分析更需要一系列的技术要求： “数据流（FLOW）”的识别：通过源目标IP地址、源目标TCP/UDP端口号和协议的五元组信息识别属于同一对TCP会话的数据包； “数据流”重组：根据每个数据包的五元组信息和TCP序列号，将同一个TCP通信对的数据包用会话时序图的方式重组； 关键指标记录：在时序图中标识出每个数据包之间的时延、丢包、重传、ACK重复和重置等TCP交互的关键指标，定位是哪个方向的网络或应用问题； 应用层语句识别：识别通用的TCP/UPD应用层信息（如web、DNS、邮件和数据库等应用），从而定位到响应时延大、响应失败的应用层语句。 一、如何通过TCP时序图重组 发现问题 TCP时序图回溯与重组是把利器 网络时延 TCP会话传输数据之前会通过三次握手建立连接，由于三次握手不涉及到应用层数据的查询，所以只要通信双方主机的CPU、内存不处于满负荷状态，终端机器的处理时延几乎可以忽略不计，通过三次握手我们可以获取客户端网络时延和服务器端网络时延，上面的时序图中： 服务器端网络时延：即“数据包1”与“数据包0”之间的时间差，该值近似于在镜像源端口ping服务器的时延，一般很小；如果服务器的CPU、内存负荷过大，该时延会明显增大； 客户端网络时延：即“数据包2”与“数据包1”之间的时间差，该值近似于在镜像源端口ping客户端的时延，对于远程访问的客户端，能够放映广域网的质量； TCP时序图回溯与重组是把利器 应用时延 “数据包3”为客户端的请求包，请求内容为“GET /zhyy/login/……”（即帐号为“zhyy”用户的登录验证请求） 应用进程时延：“数据包4”为服务器确认收到请求的额“ACK包”，该数据包一般不带应用层的内容， 所以与“数据包3”的时间差往往是毫秒级别的 数据处理时延：“数据包5”才是带应用层数据的响应包，“数据包5”和“数据包4”之间的时间差，可以判断服务器查询数据的性能（或者后台数据库的性能） TCP时序图回溯与重组是把利器 应用成功率 ：“数据包5”返回的为“HTTP/1.1 200 OK”的成功代码，说明该次应用交易是成功的； TCP连接异常 ： 本次TCP交互中TCP三次握手正常，无重传数据包、重复ACK确认包和异常重置等异常，网络时延也很小，说明网络性能良好，网络策略、安全策略等无异常。 某航空公司语音系统排障案例 排障思路 故障排查 故障排查 主界面连接分析：典型的长连接，客户端每隔几秒钟就发一次保持连接的确保不中断 故障排查 故障排查 控制插件连接分析：没有采用TCP长连接机制，客户但空闲了2090秒（34分钟）后，再次 上传请求数据时，得不到服务器的响应 故障原因 案例一 IPS设备bug问题发现 排障背景 背景介绍 故障现象： 新的OA系统上线后，大量集团用户都投诉集团新系统访问缓慢，应用与网络部门均无法找到合理 的优化依据 解决方法： 通过科来网络分析技术，将OA系统访问数据流进行回溯及重组分析，透析整个OA访问过程中网络 、服务器及客户端存在的问题，定位优化环节 排障药店