当前位置:文档之家› 网络慢故障原因分析

网络慢故障原因分析

网络“慢”原因分析
睿博工作室易隐者
QQ:349932999
MAIL:shujuhua@
目录
•引言
•“慢”的标准•“慢”的表现与影响•网络“慢”的原因•如何定位?
•如何解决
引言
•有人抱怨我们的网络慢吗?
•有人抱怨我们的业务应用慢吗?
•我们的VPN建立时间很长吗?
•我们亲身经历过网络慢的问题吗?
•我们如何定位和解决网络“慢”的问题呢?
“慢”的标准
使用者的感觉:
使用者感觉到应用变慢了,并且使用者确认这个“慢”不是其主机系统导致的。

根据专家的研究和统计,一般使用者
可以忍受的延时为3-12秒之间。

相对于网络基线:
根据实际网络环境和业务应用,通过分析统计,制定出实
际网络环境下的延时基线值,如果出现响应延时大于基线
值的情况,则认为网络“慢”了。

“慢”无固定标准
在实际工作环境中,一般以使用者感觉为主
“慢”的表现与影响
“慢”的外在表现:
1、“全局”系统慢:
整个网络系统运行缓慢,内部或外部的访问速度下降,
各种应用响应延时变大。

2、“部分”系统慢:
部分主机或业务应用访问速度下降,响应延时变大。

“慢”的影响:
轻则影响业务运行效率,重则全网瘫痪,所有业务应用全部中断!
“慢”的原因
“慢”的原因
攻击
二层攻击
网络层攻击
传输层攻击
混合攻击
性能
中间系统性能
端系统性能
网络层物理层设置
链路层
传输层应用层
设置
物理层
设置链路层
网络层
传输层
应用层
二层环路
电磁干扰
串扰
距离超长
三层环路
掩码错误
窗口太小
不支持某些算法
不支持TCP选项
如:Nagle算法
应用程序问题如:数据库死锁、
某些操作的处理算法等
衰减针对光纤
针对双绞线
针对双绞线
路由重定向
非性能原因丢包
第三方服务慢
攻击
攻击
链路层
网络层
传输层
其他攻击
MAC洪泛
ARP欺骗
UDP洪泛
SYN洪泛
TCP会话劫持
中间人攻击
分片攻击
ICMP洪泛
IGMP洪泛
Smurf攻击
中间人攻击混合了ARP
欺骗、会话劫持等攻击
形式
蠕虫攻击
性能
端系统性能性能客户端性能问题
服务器性能问题路由器性能问题交换机性能问题网关设备性能问题
中间系统性能
如:防火墙、
IPS、防病毒
网关、UTM等性能问题一般都跟攻击和资源滥用有关,在现在的网络体系下,
很少出现正真意义上的设备性能问题!
设置问题定位
除了物理层设置原因导致的外,绝大部分“慢”的原因均可以通过科来抓包来分析并定位出来
应用层
传输层
网络层链路层层次设置问题
科来定位的方法
干扰/串扰/超长
二层环路三层环路掩码错误
物理层
窗口太小算法支持TCP 选项
应用程序问题一般通过专用的设备来检测电磁干扰和串扰,网线距离超长一般在布线时要求
二层环路可以在交换机上查看MAC 表定位,科来显示同一数据包多次重复出现掩码错误,通过科来数据包解码视图中的源MAC 的对比即可定位
三层环路,在科来数据包中显示同一数据包多次重复出现,并切其TTL 值逐渐递减为0,专家诊断视图会提示:IP 生存时间过短
在科来的数据包视图中显示其窗口大小,通过观察这个窗口数值可以定位某些提高传输效率的算法没有启用,通过分析科来数据包视图中的数据包交互行为可以定位
TCP 选项功能是用来提高传输效率的,分析科来数据包视图中的TCP SYN 包可以定位通讯双方是否支持TCP 选项功能
应用层问题我们一般通过科来的会话视图,对应用层数据进行重组,发现应用层的某些异常,例如数据库死锁等
攻击定位其他攻击传输层网络层链路层层次
攻击问题科来定位的方法MAC 洪泛
ARP 欺骗分片攻击ICMP 洪泛IGMP 洪泛Smurf 攻击
会话劫持SYN 洪泛UDP 洪泛通过科来的节点浏览器功能可以快速定位该攻击形式通过科来的专家诊断视图功能可以快速定位ARP 欺骗的源主机
通过科来的矩阵视图,定位单向通讯,再根据数据包视图可定位该攻击形式通过科来的数据包视图以及深度解码功能可以定位IGMP 洪泛攻击并定位攻击源
通过科来的协议分布功能和矩阵视图,可以快速定位ICMP 洪泛攻击
通过科来的协议分布视图,配合数据包解码功能可以快速定位分片攻击
通过科来的矩阵功能和协议分布视图,可以快速定位该攻击形式
通过科来的TCP 连接建立情况视图、端点视图以及矩阵视图功能可以快速定位
通过科来的数据包解码功能中的TTL 值的对比即可发现可疑的TCP 会话,再结合
一些其他的深度分析即可完全定位
通过科来的端点视图功能、矩阵功能或会话功能可快速定位可疑主机,再通过科来的数据包解码功能最终定位攻击源蠕虫攻击
性能问题定位端系统
中间系统系统性能问题
科来定位的方法交换机性能问题路由器性能问题
服务器性能不足客户端性能不足
通过在交换机两端同时抓包,做对比分析,看经过交换机后的时延,即可定位
是否交换机的性能问题
通过科来网络分析系统的服务器SYN/ACK 的响应时间来判断服务器端的处理
性能是否不足其他性能问题通过在交换机两端同时抓包,做对比分析,看经过路由器后的时延,即可定位
是否交换机的性能问题通过在交换机两端同时抓包,做对比分析,看经过其他网关后的时延,即可定位是否交换机的性能问题
如果导致性能问题的原因是网络攻击,那么前面已经描述了通过科来定位的方法了;如果是由于资源滥用导致的性能问题,那么,我们可以通过科来的协议视图和端点视图来定位是否存在资源滥用的情况以及滥用的源主机!
网络“慢”的解决方法
定位出网络“慢”的原因后,对症下药即可快速解决这个问题了!•更改相关网络配置
•隔离攻击源或资源滥用源
•优化相应系统性能设置。

相关主题

相关文档推荐: