故障現象描述
客戶對外服務的WEB服務器無法訪問,內網機器訪問互聯網速度較慢。
基本環境描述
用戶基本網絡拓撲如下:
用戶的Internet出口基本網絡拓撲如上圖所示,其中出口帶寬爲1M,內部上網和對外服務的Web服務器共享該帶寬。
服務器IP地址爲xx.xx.142.202。
分析方案設計分析目標
確認Web服務器無法訪問是由於網絡原因引起的還是其他原因引起的,確認訪問互聯網慢是由於流量引起的還是由於其他原因引起的。
分析設備部署
我們在交換機上部署分析設備,鏡像出口的網絡流量,對出口的流量進行捕獲並進行分析。
分析情況基本流量分析
首先利用科來網絡分析系統的實時網絡流量監控分析功能,對網絡中的重要流量參數進行監控分析,確認是否由於網絡擁塞導致服務器無法訪問,並確認有無異常流量。
總體流量監控視圖
總體流量概要統計
總體流量分析
在測試過程中,鏈路總流量在200Kbytes/s左右,峯值流量大概爲1.6Mbps,鏈路利用率較大,網絡擁塞可能是導致上網慢的主要原因。
網絡中的數據包分析
網絡中的數據包率爲2392PPS。計算出的平均包長爲82bytes左右,平均包長很小,明顯有異常現象。
從包大小分佈中我們可以看出,網絡中小包(<64Bytes)數量爲2261PPS,佔絕大多數,比較異常。
廣播包和多播包
網絡中的每秒廣播包和多播包數量很少,正常。
分析結論:網絡沒有擁塞現象,但小包太多,明顯異常。
總體通訊情況分析
利用科來網絡分析系統可以對網絡中的總體通訊情況分析,包括主機數量、會話數量、應用請求數量的分析,查看是否存在異常現象。分析結果如下:
基本通訊情況分析
發現的異常結果如下:
TCP流異常
TCP同步發送爲2771211,而同步確認發送爲2090個,同步發送數量遠高於同步確認數量,明顯爲異常,需進一步分析。
HTTP應用異常
HTTP連接97121個,HTTP請求440個,也就是說絕大多數的HTTP連接中沒有任何HTTP請求,明顯異常。
分析結論:tcp同步發送和同步確認數量明顯異常,http連接數量遠遠大於http請求數量,這些異常很可能是由於***。。。詳情盡在科來軟件官網http://www.colasoft.com.cn/cases-and-application/security012.php
更多案例盡在科來軟件官方網站?-網絡安全分析-有很多案例教程可以學習。
歡迎關注CSNA網絡分析論壇微博(http://weibo.com/csna)和科來軟件官網微博(http://weibo.com/colasoft)