需求简介
某外高桥公司的OA系统是其重要的业务系统,OA系统负责人表示,部分用户反馈,访问OA系统时比较慢。需要通过分析系统看一下实际情况。
本次分析重点针对OA系统性能进行分析,以供安全取证、性能分析、网络质量监测以及深层网络分析。
报告内容
本报告内容主要为:整体流量、异常分析、其他信息。
分析时间
报告分析时间范围为:2021-05-06 00:00-2021-05-06 23:59,时长共计1天。
分析结论
名为“其它组”出现63.9万次失败访问。
详细分析内容
下面从三部分进行详细分析。
流量分析
总体流量分析。
异常分析
异常分析原理
正常的基于TCP的网络流量,都是先建立TCP连接,再传输数据,然后断开连接。而网络中经常存在中毒系统、配置错误等问题,导致网络中存在单向请求现象,这些信息也会在网络流量中体现。
NetInside自动发现大量连接请求,但对方没有响应的行为,统计为失败数。
名为“其它组”出现63.9万次失败访问。
10.8.68.191失败分析,通过分析,该异常是由于10.8.68.191每隔几秒访问一次192.168.2.16的15674端口,对方没有响应造成。
同样对10.8.78.32分析。
10.8.78.32失败分析,通过分析,该异常是由于10.8.78.32每隔几秒访问一次192.168.2.16的15674端口,对方没有响应造成。
通过上述对2个主机异常分析,结果相同,可能是由于系统中安装某终端或应用配置错误导致。
同理,NetInside系统会发现类似的网络异常行为。
其它信息
目前,还有很多未归类的URL信息,不知道业务名称,需要信息部门相关人员配合(提供未知URL的业务名称)。
例如,5月6日全天,有168.3万个访问归类到其它web访问中。
这些为归类URL信息如下:
工作组未定义,系统分析到网络中存在大量的网段,需要定义工作组,需要信息部门相关人员配合(提供各个部门网段信息) 。
为什么要定义工作组?
定义了工作组,就可以对每个工作组单独分析,快速定位故障。
假如,定义了一个名为“10-8-86网段”的工作组,工作组成员是10.8.86.0/24,就可以实现如下分析。
查看工作组”10-8-86网段”的信息。
看工作组”10-8-86网段” 及成员的异常信息。
建议
1. 大量访问失败情况,需要和现场技开发人员沟通分析,确保不会影响系统正常运行。
2. 很多未归类的URL信息,不知道业务名称,需要信息部门相关人员配合(提供未知URL的业务名称)。
扫一扫
354
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
