概述

  網(wǎng)絡(luò)異常流量突發(fā)是經(jīng)常困擾運(yùn)維管理人員的問(wèn)題之一。突發(fā)流量可能會(huì)造成網(wǎng)絡(luò)的擁塞,從而產(chǎn)生丟包、延時(shí)和抖動(dòng),導(dǎo)致網(wǎng)絡(luò)服務(wù)質(zhì)量下降;不僅如此,突發(fā)流量還可能存在安全風(fēng)險(xiǎn),例如:DoS攻擊、蠕蟲、竊密等,會(huì)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)造成更大的危害。常規(guī)的網(wǎng)絡(luò)管理和流量監(jiān)控手段通常僅能夠看到流量異常突發(fā)的現(xiàn)象,卻不能夠讓管理人員深入分析異常流量產(chǎn)生的原因,無(wú)法了解異常流量是哪些IP造成的、是否是惡意攻擊行為、異常流量的行為特點(diǎn)、傳輸內(nèi)容、對(duì)網(wǎng)絡(luò)和業(yè)務(wù)有多大影響等,導(dǎo)致難以采用正確的處理措施。

  科來(lái)回溯分析系統(tǒng)能夠透視網(wǎng)絡(luò)流量、回溯歷史通信數(shù)據(jù)包,從而快速判斷異常流量突發(fā)的根本原因。以下就是一個(gè)通過(guò)科來(lái)回溯分析系統(tǒng)分析異常流量突發(fā)成因的案例。

  分析案例

  某用戶數(shù)據(jù)中心近期通過(guò)網(wǎng)管軟件發(fā)現(xiàn)有一個(gè)重要的業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)不定期的會(huì)出現(xiàn)流量突發(fā),但用戶無(wú)法看到是哪臺(tái)服務(wù)器出現(xiàn)異常,也不知道是和誰(shuí)在通訊。由于這個(gè)區(qū)域的服務(wù)器存儲(chǔ)的都是重要的客戶信息和計(jì)費(fèi)數(shù)據(jù),運(yùn)維人員非常擔(dān)心是服務(wù)器被滲透造成數(shù)據(jù)泄密。

  為了對(duì)突發(fā)流量進(jìn)行精細(xì)分析,用戶在問(wèn)題區(qū)域部署了科來(lái)回溯分析系統(tǒng)進(jìn)行7×24小時(shí)數(shù)據(jù)采集。設(shè)備部署當(dāng)天我們通過(guò)科來(lái)回溯分析系統(tǒng)的流量趨勢(shì)圖就觀察到了一次持續(xù)約10分鐘的流量突發(fā),峰值流量達(dá)到了其他時(shí)段的6倍以上。

  通過(guò)異常時(shí)段的IP會(huì)話統(tǒng)計(jì)表,我們發(fā)現(xiàn)有一個(gè)IP會(huì)話的流量明顯高于其他通訊對(duì),竟然是一臺(tái)業(yè)務(wù)服務(wù)器(10.199.90.51)與數(shù)據(jù)中心其他區(qū)域的一臺(tái)主機(jī)(10.199.72.168)間的異常通訊造成了流量突發(fā)(如圖所示)。

  用戶經(jīng)過(guò)核查確認(rèn)了10.199.72.168是一臺(tái)網(wǎng)管系統(tǒng)的主機(jī)IP,業(yè)務(wù)服務(wù)器每隔1小時(shí)會(huì)向網(wǎng)管系統(tǒng)上報(bào)日志數(shù)據(jù),但每次上報(bào)的數(shù)據(jù)量應(yīng)該在10MB以下,不應(yīng)該造成流量突發(fā)。

  為了進(jìn)一步分析,我們提取了流量突發(fā)時(shí)段該異常通訊對(duì)數(shù)據(jù)包通過(guò)科來(lái)回溯分析系統(tǒng)進(jìn)行解碼分析,還原問(wèn)題時(shí)段突發(fā)流量的通訊內(nèi)容。從兩臺(tái)主機(jī)間的數(shù)據(jù)流內(nèi)容中,我們看到10.199.90.51在向10.199.72.168發(fā)送大量的日志條目,不過(guò)這些日志的時(shí)間都是一個(gè)月以前的,并非最近1小時(shí)的日志。

  至此,我們初步懷疑是業(yè)務(wù)服務(wù)器上的網(wǎng)管系統(tǒng)插件異常造成了流量突發(fā),可以完全排除網(wǎng)絡(luò)安全問(wèn)題導(dǎo)致數(shù)據(jù)泄密的可能性。網(wǎng)管系統(tǒng)的維護(hù)人員根據(jù)這一線索對(duì)10.199.90.51上的插件進(jìn)行了排查,發(fā)現(xiàn)的確插件程序存在BUG,不定期會(huì)上傳大量的歷史日志。插件BUG修正之后,用戶再?zèng)]有監(jiān)控到上述的異常流量突發(fā)。

  案例總結(jié)

  由于異常流量突發(fā)的成因很多,對(duì)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的危害程度也不近相同,在運(yùn)維管理工作中如果不能對(duì)異常流量進(jìn)行快速、深入的分析,往往會(huì)無(wú)從下手。這個(gè)案例中,異常流量突發(fā)困擾了用戶將近一個(gè)月,通過(guò)科來(lái)回溯分析系統(tǒng)的數(shù)據(jù)挖掘和數(shù)據(jù)包回溯功能一天內(nèi)就準(zhǔn)確找到了問(wèn)題的根源,消除了用戶對(duì)信息泄密的擔(dān)憂,并使問(wèn)題的到了徹底的解決。

責(zé)任編輯:admin