随着企业数字化转型的深入,网络安全已成为各个企业不容忽视的重要议题。但在这个数据驱动的时代,如何快速、准确地定位并解决网络问题,成为了运维人员面临的一大挑战。
这不,运维人员小张今天就遇到了这个难题:
某信息中心
王主任
小张,现在公司正值重大业务保障期间,业务部门刚刚反馈网络间歇性卡顿持续1-2分钟!
王主任
给我查查究竟是怎么回事?下班前我就要结果向上汇报。
小张
收到,我马上查!
小张
兄弟,江湖救急!领导让我排查网络间歇性卡顿的原因,这可从哪儿下手啊?
安安
别慌!试试“鹰眼”全流量取证系统的智能分析“四步走”,可以帮你排查故障根因。
小张
还有这功能,可帮大忙了!
安安
对,鹰眼能通过指标趋势可视,进行统计排名和故障会话分析,最后根据数据包取证完成排查闭环,而且还有质量指标热力图,帮助定位异常。
小张
太好了,我马上去试试!
“鹰眼”故障排查“四步走”
“鹰眼”全流量取证系统,以指标趋势可视作为入口,进行异常线索的排查。将负载、质量、TCP指标、建连分析等指标进行统计排名,定位异常目标。深度挖掘异常目标的故障会话,在线分析找到故障根因。最后通过数据包取证,提交数字证据。通过以上故障排查思路,可助客户化繁为简,分钟级快速定位问题。
第一步:看指标
当发生网络访问卡顿问题时,常见原因可能包括:负载过高导致超过分配带宽阈值,存在SYN攻击导致新建超过系统规格,服务器资源被占满或者应用忙等。这些原因均会从指标上体现出异常趋势,例如当负载超过带宽阈值时,带宽利用率指标会突增;当存在SYN攻击时,新建会话数指标会骤增;当服务器资源被占满时,对应的TCP零窗口数量指标会增加;应用忙,可能服务器URL响应时间较长,对应服务器响应时间指标会变大。
鹰眼将网络流量数据分为负载、质量、TCP与建连指标四类,帮助定位异常情况。
负载指标包括流速、新建会话、带宽利用率等,是网络运维场景下通常关注的流量信息,具备监控统计的必要性。同时负载信息也是流量出现问题时的基本定位方向。
质量指标包括网络时延、丢包率、响应时间、重传率等。质量指标分析会聚焦具有网络问题或应用问题指向性的数据,引导客户发现异常,减少思考成本。
TCP指标包括SYN、SYN ACK包数量、零窗口数量以及TCP重置数量等,是网络质量的代表性指标,其严重状态能反映当前网络的拥塞情况。
建连指标包括建连失败率、建连失败次数、建立连接时间、TCP无异常三次握手次数等。会话的建立连接分析可用来刻画网络的可用性程度。
鹰眼通过指标趋势可视的方式,将负载指标、质量指标、TCP指标、建连指标一一梳理,通过趋势图即可简单快速地发现异常。如在故障时段,负载指标中的带宽利用率和流速出现了突增。为什么会带宽和流速突增?带着这个疑问,我们进一步排查。
第二步:统计排名
在发现指标异常后,可针对指标进行统计排名与流量分析,定位异常源头。
鹰眼支持从IP、协议、应用、会话等多个视角进行自动流量排名分析。根据趋势图异常点,将流量分析聚焦至异常时段的前后1小时,缩短排查范围,网络应用维度流量自动统计排序,会发现NETBIOS会话服务总流量最大,并且与同时段的其他应用存在量级化差距。
那么NETBIOS会话服务下是谁访问得最多呢?带着这个疑问继续挖掘下钻,在流量分析页面双击NETBIOS会话服务,展开后即从网络应用下钻查看具体源IP与目的IP。
通过下钻,定位到源IP 10.223.x.12访问流量最高,继续双击下钻,定位至源IP为10.223.x.12与目的IP为10.223.x.16的会话通信流量最高,同时明显发现该会话流量与其他会话存在量级式差距。因此,这个会话大概率是故障源头,其详细信息需要继续挖掘探索。
第三步:会话分析
顺着会话,我们继续查看原始数据报文,深挖可疑会话,进一步确定问题原因。
鹰眼支持基于IP会话、TCP会话与UDP会话维度进行深度分析,在会话分析维度支持近百种全网络指标统计分析,一键点击可自动排序。
通过会话排查发现,问题会话的流量较大且上行流量高,有可能存在敏感数据上传或写入等异常行为。通过鹰眼内置在线分析工具对会话深度分析,将报文快速解码分析,完成会话排查。
通过在线分析,发现了疑似通过SMB协议进行数据写入的行为:
接下来,需要原始数据报文提供排查的数据支撑,至此故障排查与取证完成闭环。
第四步:数据包取证
最后一步是通过数据包取证验证分析结论。
鹰眼支持基于会话、时段、协议、应用等条件按需下载报文,通过原始报文验证分析结论的准确性。
通过第三方报文分析工具查看发现,在网络卡顿故障时段存在大量文件写入的行为,大幅占用带宽,导致带宽不够用,影响业务访问。
排查结论
小张将“疑似10.223.x.12在工作时间进行大文件写入行为,大幅占用带宽导致业务访问卡顿”的结论同步至相关业务部门。经业务部门确认,确有同事在工作时间段将文件写入外挂存储服务器的行为,于是进行了相应的业务操作规范整改。整改后,业务恢复,不再卡顿。
在这个安全事件频发的时代,鹰眼的“四步走”智能分析能力,为您带来快速定位和分析根因的底气和安全感。当流量出现异常、安全事件频发时,只需“四步”即可迅速定位问题源头。无论是技术大咖还是技术小白,都能轻松上手分析,面对故障排查不再毫无头绪,保障业务稳定运行,让企业实现安全业务“兜底”。
此外,“鹰眼”全流量取证系统还可以提供网络流量梳理、关键数据回溯和业务性能监测能力。通过高性能数据包采集、一体化应用和安全引擎、领先的报文存储和分析算法,采用可溯、可视、可知的理念,构建流量全景可视化,为 IT 信息化建设和数据安全服务提供数据支撑和决策支持。
作为网安上游龙头企业,安博通持续专注网络安全可视化领域,致力将安全能力与客户的业务场景相融合,助力千行百业共赢数字未来。
点击阅读原文,了解鹰眼
