文档介绍:某分公司网络缓慢故障分析
故障现象
分公司内部的客户端在利用网络办公的时候,网络延迟很大,在严重的时候,甚至无法连接对方主机。
拓扑结构:
该网络的数据流向:
该分公司内部主机之间的通讯。此流量流经相关的接入交换机和分公司核心交换机。
该分公司内部主机与其他分公司之间的通讯。此流量流经相关的接入交换机、该分公司核心交换机和路由器,通过8M带宽的出口至市中心机房。
该分公司内部主机与总公司HTTP Server和DNS Server之间的通讯。此流量流经相关的接入交换机、该分公司核心交换机和路由器,通过8M带宽的出口至市中心机房,然后由中心机房通过广域网链路转发至总公司。
科来网络分析系统2010的流量捕捉点位于该分公司核心交换机向路由器的出口,所捕捉的流量为2、3、4中所述。
故障分析
基本流量
由于数据包的捕捉点的带宽为100M,因此在该出口查看网络的利用率并不高,小于10%。但是,该链路的数据包要经过路由器8M的出口,%,%,利用率较高,网络质量较差,易产生拥塞、丢包等网络问题。另外,网络中小包的数量较多,说明网络的传输效率不高。较多的小包需要进一步的检查。
网络应用
网络中的主要应用为HTTP协议(%)、HTTP Proxy协议(%)、CIFS协议(%)、DNS协议(%)和TCP Other协议(%)、UDP Other协议(%)。其中,HTTP协议和HTTP Proxy协议为网络中的正常应用;CIFS协议和DNS协议本应是网络中的正常应用,但是在此网络中却表现异常,需要进一步的分析。
传输性能
出现大量的重传、慢应答和重复确认,说明传输性能不佳。大量的重复连接尝试说明很可能存在大量无效的TCP SYN连接,这点与前述的小包数量较多相应和。
危害网络的异常流量
有三台主机向其他主机发起大量的CIFS连接,持续时间为整个数据包捕获过程。这些攻击所发送的数据包均为64B左右的小包,这些大量的数据包需要经过接入层交换机、本分公司的核心交换机、路由器以及市中心机房的网络设备,给这些网络设备的转发能力增加了很大压力,造成了该网络链路的拥塞。
另外,还有其他一些地址也发现了少量可疑的CIFS扫描行为。
还有一些主机的不明TCP请求遭到拒绝,有请求1120端口的,还有请求Rwhois服务和HTTP服务的,需要网络管理员在主机上做详细排查。
这些异常流量应该就是导致网络中大量重复连接以及数量众多的小包的原因。
错误的DNS配置:
科来网络分析系统2010的故障诊断模块显示有大量的DNS查询错误,持续时间为整个数据包捕获过程。详细查看该软件的DNS日志,发现所查询的内容大多为:、、,经过进一步分析,发现这两台DNS服务器位于外地的总公司,只能解析内部的域名,因此对于这些外部域的查询名返回查询错误。
这些请求外网域名解析的客户机装有两块网卡,分别负责内外网的连接。由于这些主机上装有一些百度、迅雷和暴风影音的插件,在内网连接的模式下,这些插件自动与外网的