一、问题描述某单位刚刚上线一套新的应用系统,但仅仅上线两天后就出现应用不能正常访问的情况,并且ping包时产生了大量的丢包,重启服务器后能够正常工作,但几分钟后出现同样的问题。网络维护人员经过长时间的问题排查仍未找到发生故障的原因。
通过部署科来网络回溯分析系统抓取应用系统的流量,很快就找到了影响应用系统的原因。
二、问题分析
如上图,通过对“发TCP同步包”降序排列,发现前两位IP地址是aa.bb.cc.58和aa.bb.cc.59,这两个IP正是出现问题的服务器IP,这两个IP发TCP同步包量分别为2千9百万和2千7百万。
再查看“收TCP同步确认包”时, TCP同步确认包只有5千和3千多个,TCP同步包与TCP同步确认包差值巨大,可能存在异常情况。
通过上两图,可以看出在很短的时间内这两个IP地址产生了大量的TCP会话,而且全部是这两个地址向互联网地址发送的数据包,基本没有收到任何回应。
通过下载数据包,可以直观的看到aa.bb.cc.58和aa.bb.cc.59两台主机在向大量的互联网主机的TCP80端口发送TCP同步包。
三、分析结论由于aa.bb.cc.58、aa.bb.cc.59两台服务器对外发送大量TCP同步包成服务器性能大幅下降,这就造成了应用系统不能正常访问。科来网络回溯分析系统通过对原始通讯数据包的分析,快速的定位了问题的根源,并且清除服务器恶意程序,很快的就解决了应用系统的问题,帮助用户减少了故障时间,降低不良影响。 |
发表于 2015-7-24 14:55:48