网络慢分析实例)
C用户名第四次重传
S:用户名ok,需密码 C输入密码 S“需密码”重传
C重传密码 S:超时关闭
登陆成功,但是很慢的数据包分析
2.8S的延时 5.8S的延时
11.9S的延时 23.9S的延时 29.9S的延时
TCP三次握手建立连接
S响应:winsock ready C输入用户名 S的第一次重传 C对”S第一次重传“的确认 C用户名第一次重传 S的第二次重传 C对”S第二次重传“的确认 C用户名第二次重传 S:用户名ok,需密码 C输入密码 C密码第一次重传 S“需密码”第一次重传
这说明,这个打印操作 是需要连接网络中的数 据库,从数据库中调用 相关的打印数据,也就 是说,这个网络调用的 过程,很可能就是产生 打印时延的原因
分析过程1-定位异常TCP会话
在科来的“会话”视图中,我们查看TCP会话, 我们可以发现有三个会话跟数据库有关 我们可以根据TCP的会话持续时间,来定位产生延时的 TCP会话
C密码第二次重传 S“需密码”第二次重传
C密码第三次重传 S:登陆成功
交互过程示意图
请求用户名
请求用户名
S:winsock ready
C输入用户名
用户名 请求用户名
请求用户名
S的第一次重传
C用户名第一次重传
用户名 请求用户名
请求用户名
S的第二次重传
C用户名第二次重传
用户名
请求用户名
请求用户名
S的第三次重传
结论:客户端传输用户的数据包被中间设备丢掉了!
定位是什么设备丢包
原理: 一个目的地址不是中间设备 的包进入一个中间设备,它 必然会被中间设备转发到一 个出口,否则,就是被中间的数
据包,结合数据包内IPID、五
元组、内容等信息来判断是否
属于同一会话,是否有数据包
一致,中间经过2台防火墙,可能存在状态检测的问 题
• HTTP的数据流走向跟FTP的数据流走向应该是一样 的,HTTP正常,FTP不正常,说明这个跟TCP的状 态检测无关,应该是FTP应用层的问题
• 暂时没什么头绪,只能先从客户端下手,进行抓包分 析,看看大体的情况
登陆不上时的数据包分析
2.9S的延时 5.9S的延时 12S的延时
分析结论
分析结论: 应用出现停滞现象主要是由于服务器端出现窗口为0导致 的,肯定跟网络无关,可以从服务器本身性能或者服务器 端应用程序入手进行相应的检查
案例2-某应用打印慢故障
故障现象: 用户某个业务应用在执行打印操作时,打印速度很慢,一般需要 等20多秒才可以正常打印。
故障分析: 打印行为似乎跟网络无关,但是我们还是先抓包看看,我们发现 ,每次打印的时候,客户端均需要连接数据库服务器,如下图:
小结: 其实,我们还可以通过对比分析法(对比分析正常打印的数 据包与打印慢的数据包)来定位这个故障的原因。
案例3-防火墙应用层检测BUG导致FTP慢
• 故障现象 • 故障环境 • 故障分析思路 • 故障分析过程 • 故障解决
故障环境
说明:
1、客户端的默认网关是主 路由器 2、主路由上设置了相应的 策略,凡是FTP/HTTP的 应用均交由备路由处理 3、备路由上会将访问国家 局的网段指向国家局路由 4、核心与路由间均部署防 火墙,防火墙工作在透明 模式下 5、客户端访问服务器的数 据流走向比较复杂,看演 示
分析过程2-定位延时产生的位置
原理: 我们通过时 间差来定位 延时产生的 位置。
我们可以发 现在时间差 视图中,存 在一个22.9 秒的延时, 这个数据包 是客户端向 服务器发送 的数据包, 那么这个延 时应该就是 客户端产生 的
分析过程3-查看数据包内容
是客户端 向数据库 服务器进 行查询的 行为; 客户端在 等待了近 23秒才向 服务器发 出这个查 询操作!
23.9S的延时 23.9S的延时 6S的延时 15.8S的延时
TCP三次握手建立连接
S响应:winsock ready C输入用户名 C用户名第一次重传 S的第一次重传 C对”S第一次重传“的确认 S的第二次重传 C对”S第二次重传“的确认 C用户名第二次重传 C用户名第三次重传 S的第三次重传 C对”S第三次重传“的确认
思考: 服务器回包的数据流走向是如何的?
故障现象
• 省局到国家局的FTP服务很慢,一般需要40多 秒才可以登陆上去,有时根本登陆不上去
• Ping测试延时很小 • 省局到国家局的HTTP应用正常
前期简单分析
• Ping延时很小,说明网络层的延时很正常 • 网络环境复杂,数据流走向复杂,数据包来回路径不
分析结论与故障解决
分析结论: 1,客户端在执行打印操作时,需要向网络中的数据库服务器 调用相应的打印数据 2,客户端在与数据库服务器交互的过程中,本身在执行一个 查询操作前,等待了22.98秒的时间,从而导致了打印的延时
故障解决: 卸载这个应用软件,重新安装,再次测试打印速度,已经恢 复正常,至此,故障解决
被丢弃
通过此种方法,我们定位出是防火墙丢包!
TAP
双网卡笔记本安装科来 开启两个工程,分别针 对中间设备进出口抓包
其实我们也可以利用中间设备本身自带的抓包功能进行分析和 定位,具体可以参考我以前写的PPT:《疑难故障解决实例》
防火墙丢包原因分析
原因分析: 1,数据包来回路径肯定是不一致的,那么对于基于状态检测的 防火墙,是不会建立TCP连接的但是HTTP应用正常,抓包显示 FTP三次握手的过程也很正常,说明跟TCP状态检测无关 2,抓包分析我们可以发现被丢弃的包都是FTP传输用户名和密 码的包,这个肯定属于FTP应用层的包,防火墙丢弃FTP应用 层的数据包,那么问题应该就出在防火墙的FTP应用层检测上
C发送133B的数据 C发送512B的数据 S通告窗口大小为348B C发送53B的数据 C发送348B的数据 S通告窗口大小为0
C对S的窗口探测报文 S窗口仍未更新,大小为0 C对S的窗口探测报文 S窗口仍未更新,大小为0 S窗口更新为8192B
窗口问题导致应用产生了3秒的延时 零窗口一般都是应用程序处理性能较差,来不及处理缓存中的数据或者应用服务器 本身性能不足导致的
网络慢故障分析实例
科来安徽办事处
目录
• 零窗口导致应用间歇性停滞 • 打印慢故障 • 防火墙应用层检测导致FTP慢 • 网上申报故障 • 业务访问慢
案例1-TCP窗口问题导致应用慢
故障现象: 应用在交互的过程中,经常出现数秒的停滞,然后 恢复正常,过段时间后,又再次出现停滞现象,如 此反复
数据交互过程分析
