背景
某汽车总部已部署NetInside流量分析系统,使用流量分析系统提供实时和历史原始流量。汽车配件电子图册系统是某汽车集团的重要业务系统。本次分析重点针对汽车配件电子图册系统进行预见性分析,以供安全取证、性能分析、网络质量监测以及深层网络分析
报告内容
本报告内容主要为:
整体流量分析、异常分析。
分析时间
报告分析时间范围为:2022-04-04—2022-04-10,时长共计7天。
环境准备
分析结论
系统几秒钟定位至问题根本原因,通过输出报告方式,总体流量、连接异常过程详细演示。
1. 总体网络流量平均每小时100Mbps,最大时超过441Mbps,显示了流量最大的前5个IP和前5个应用全天的变化趋势。
2. 发现网络中存在连接异常,172.17.254.243主机与172.24.17.94/95建立连接时,出现连接重传,有部分请求出现连接失败的现象。
详细分析内容
流量分析
总流量分布趋势,最大时超过441Mbps。
流量最大的前5个IP地址,流量分布趋势。
流量最大的前5个应用分布趋势,其中TCP:1556流量达到439Mbps。
系统在4月9日自动发现,tcp:1556不常见的应用端口流量特别大。
异常分析
正常的基于TCP的网络流量,都是先建立TCP连接,再传输数据,然后断开连接。
而网络中经常存在中毒系统、配置错误等问题,导致网络中存在单向请求现象,这些信息也会在网络流量中体现。
NetInside自动发现大量连接请求,但对方没有响应的行为,统计为失败数。
“其它组”工作组异常分析,出现3577次失败访问,IP为172.17.254.243平均每小时发送6480个请求,其中有3600个请求失败。
下载原始数据报文,所有的异常行为都会留有网络痕迹,通过系统下载172.17.254.243的原始报文,把当时的流量拿出来做分析。
访问失败分析,通过下载数据包分析,该异常是会话建立连接时出现重传,需要释放掉该连接,重新建立导致。
建议
通过对汽车配件电子图册“其它组”工作组异常分析,运维同事认为此问题会影响系统其他应用的性能,需要排查具体原因并禁止此行为的单向发送。
扫一扫
1989
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
