《网络慢故障分析实》由会员分享,可在线阅读,更多相关《网络慢故障分析实(22页珍藏版)》请在金锄头文库上搜索。
1、网络慢故障分析实例,睿博工作室 易隐者QQ:349932999MAIL:,目录,零窗口导致应用间歇性停滞打印慢故障防火墙应用层检测导致FTP慢专网内打开网页慢总结,案例1-TCP窗口问题导致应用慢,故障现象:应用在交互的过程中,经常出现数秒的停滞,然后恢复正常,过段时间后,又再次出现停滞现象,如此反复,数据交互过程分析,C发送133B的数据,C发送512B的数据,S通告窗口大小为348B,C发送53B的数据,C发送348B的数据,S通告窗口大小为0,C对S的窗口探测报文,S窗口仍未更新,大小为0,C对S的窗口探测报文,S窗口仍未更新,大小为0,S窗口更新为8192B,窗口问题导致应用产生了3秒
2、的延时零窗口一般都是应用程序处理性能较差,来不及处理缓存中的数据或者应用服务器本身性能不足导致的,分析结论,分析结论:应用出现停滞现象主要是由于服务器端出现窗口为导致的,肯定跟网络无关,可以从服务器本身性能或者服务器端应用程序入手进行相应的检查,TIPS:并不是每次的故障我们都要去解决,我们网络分析最主要的目的是找到问题的原因和源头,有些事情是我们本身解决不了的,例如:应用软件的问题、互联网的问题、设备本身的问题、硬件的问题,案例2-某应用打印慢故障,故障现象:用户某个业务应用在执行打印操作时,打印速度很慢,一般需要等20多秒才可以正常打印。,故障分析:打印行为似乎跟网络无关,但是我们还是先抓
3、包看看,我们发现,每次打印的时候,客户端均需要连接数据库服务器,如下图:,这说明,这个打印操作是需要连接网络中的数据库,从数据库中调用相关的打印数据,也就是说,这个网络调用的过程,很可能就是产生打印时延的原因,分析过程1-定位异常TCP会话,在科来的“会话”视图中,我们查看TCP会话,我们可以发现有三个会话跟数据库有关,我们可以根据TCP的会话持续时间,来定位产生延时的TCP会话,分析过程2-定位延时产生的位置,原理:我们通过时间差来定位延时产生的位置。,我们可以发现在时间差视图中,存在一个22.9秒的延时,这个数据包是客户端向服务器发送的数据包,那么这个延时应该就是客户端产生的,分析过程3-
4、查看数据包内容,是客户端向数据库服务器进行查询的行为;客户端在等待了近23秒才向服务器发出这个查询操作!,分析结论与故障解决,分析结论:1,客户端在执行打印操作时,需要向网络中的数据库服务器调用相应的打印数据2,客户端在与数据库服务器交互的过程中,本身在执行一个查询操作前,等待了22.98秒的时间,从而导致了打印的延时,故障解决:卸载这个应用软件,重新安装,再次测试打印速度,已经恢复正常,至此,故障解决,小结:其实,我们还可以通过对比分析法(对比分析正常打印的数据包与打印慢的数据包)来定位这个故障的原因。,案例3-防火墙应用层检测BUG导致FTP慢,故障现象故障环境故障分析思路故障分析过程故障
5、解决,故障环境,说明:1、客户端的默认网关是主路由器2、主路由上设置了相应的策略,凡是FTP/HTTP的应用均交由备路由处理3、备路由上会将访问国家局的网段指向国家局路由4、核心与路由间均部署防火墙,防火墙工作在透明模式下5、客户端访问服务器的数据流走向比较复杂,看演示,思考:服务器回包的数据流走向是如何的?,故障现象,省局到国家局的FTP服务很慢,一般需要40多秒才可以登陆上去,有时根本登陆不上去Ping测试延时很小省局到国家局的HTTP应用正常,前期简单分析,Ping延时很小,说明网络层的延时很正常网络环境复杂,数据流走向复杂,数据包来回路径不一致,中间经过2台防火墙,可能存在状态检测的问
6、题HTTP的数据流走向跟FTP的数据流走向应该是一样的,HTTP正常,FTP不正常,说明这个跟TCP的状态检测无关,应该是FTP应用层的问题暂时没什么头绪,只能先从客户端下手,进行抓包分析,看看大体的情况,登陆不上时的数据包分析,TCP三次握手建立连接,S响应:winsock ready,C输入用户名,C用户名第一次重传,2.9S的延时,S的第一次重传,S的第二次重传,C用户名第二次重传,C用户名第三次重传,S的第三次重传,C用户名第四次重传,S:用户名ok,需密码,C输入密码,S:超时关闭,S“需密码”重传,C重传密码,5.9S的延时,12S的延时,23.9S的延时,23.9S的延时,6S的
7、延时,15.8S的延时,C对”S第一次重传“的确认,C对”S第二次重传“的确认,C对”S第三次重传“的确认,登陆成功,但是很慢的数据包分析,TCP三次握手建立连接,S响应:winsock ready,C输入用户名,C用户名第一次重传,C用户名第二次重传,C对”S第一次重传“的确认,C对”S第二次重传“的确认,S的第一次重传,S的第二次重传,S:用户名ok,需密码,S“需密码”第一次重传,C输入密码,C密码第一次重传,C密码第二次重传,S“需密码”第二次重传,C密码第三次重传,S:登陆成功,29.9S的延时,23.9S的延时,11.9S的延时,5.8S的延时,2.8S的延时,交互过程示意图,S:
8、winsock ready,C输入用户名,C用户名第一次重传,C用户名第二次重传,S的第一次重传,S的第二次重传,S的第三次重传,结论:客户端传输用户的数据包被中间设备丢掉了!,定位是什么设备丢包,原理:一个目的地址不是中间设备的包进入一个中间设备,它必然会被中间设备转发到一个出口,否则,就是被中间设备丢弃了,对比分析法:通过抓取中间设备进出口的数据包,结合数据包内IPID、五元组、内容等信息来判断是否属于同一会话,是否有数据包被丢弃,双网卡笔记本安装科来开启两个工程,分别针对中间设备进出口抓包,TAP,TAP,其实我们也可以利用中间设备本身自带的抓包功能进行分析和定位,具体可以参考我以前写的
9、PPT:疑难故障解决实例,通过此种方法,我们定位出是防火墙丢包!,防火墙丢包原因分析,TIPS:防火墙中的两个概念状态检测:深度检测:,原因分析:1,数据包来回路径肯定是不一致的,那么对于基于状态检测的防火墙,是不会建立TCP连接的但是HTTP应用正常,抓包显示FTP三次握手的过程也很正常,说明跟TCP状态检测无关2,抓包分析我们可以发现被丢弃的包都是FTP传输用户名和密码的包,这个肯定属于FTP应用层的包,防火墙丢弃FTP应用层的数据包,那么问题应该就出在防火墙的FTP应用层检测上,故障解决,故障解决:1,在防火墙上取消FTP应用绑定,让防火墙不要对FTP的数据包进行深度的过滤和检测2,测试,FTP登陆正常,思考:除了在防火墙上取消针对FTP应用的应用层深度检测功能外,还有其他的解决方式吗?提示:大家注意数据包中的ICMP重定向报文,案例4-网页打开慢,故障环境:1,网络拓扑如下图所示2,核心交换机上划分了VLAN,防毒墙、防火墙均工作在透明模式下,故障现象:用户在内网打开专网的网页速度很慢,经常需要5-20秒左右才可以完全打开,有时直接就打不开,用户需要找到真正的原因,TIPS:1、大家需要注意到网关型设备对其转发的数据包的改变与影响2、学会对比分析网关型设备进口、出口的数据包的变化,
