1、拓展网络视野 精细网络管理,Network Forensic Analysis Application,科来网络回溯分析系统,二、网络分析需求,三、科来回溯分析解决方案,四、应用案例,一、关于科来,关于科来,关于科来,科来产品在全球的销售,科来在全球 全球5000多商业客户,87个世界500强用户 国内营销和技术支持中心:北京、上海、广州、成都、南京 海外市场:北美区、欧洲区、亚太区,国内典型客户,政 府,金 融,电力/电网,能源/矿业,运营商,公 安,科技部 外交部 农业部 海关总署 国家统计局 国家工商总局 国家会议中心 国家电监会 国家证监会 国家图书馆 国防科工总局 国家测评中心 深圳
2、海关 四川省政府 山东省测评中心 河南省委办公厅 河北省国税局 山西省政协,公安部等保中心 吉林省公安厅 辽宁省公安厅 南阳市公安局 吉林市公安局 郑州市公安局 焦作市公安局 许昌市公安局 南通市公安局 安阳市公安局 鹤壁市公安局,国家电网(IIS) 河南省电力 安徽省电力 江西省电力 四川省电力 天津市电力 重庆市电力 北京华电 贵州市电网 贵州乌江水电 河南焦作电厂 河南栾川供电 漯河市供电 青州市供电 寿光市供电 中电临河发电,中石油集团 中石化集团 华北石油通信公司 长庆油田 中海油泰州石化 中石化润滑油 中石油勘探院 洛阳炼化 济南炼化 河南濮阳油田 新疆石河子油田 河南南阳油田 锦
3、西石化公司 宁夏石化 中国石化报社 中海油泰州石化 宁煤集团 平煤集团 淮南矿业集团 淮北矿业集团 开滦煤矿集团 山东黄金矿业集团,广东电信 湖南电信 湖北电信 广州电信 桂林电信 汕头电信 深圳电信 清远电信 广东移动 浙江移动 四川移动 江苏移动 湛江电信 梅州电信 阳江电信 肇庆电信,信息产业部电信研究院 中国空间技术研究院 中国科学院信息中心 中国社科院台湾研究所 中国电子科学研究院 煤炭科学研究总院 四川省农业科学院 重庆电力科学研究院 国网电力科学研究院 海南汽车试验研究所 北京信息技术研究所重庆商业银行 安徽省农发行 浙江省农业银行 浙江绍兴银行 丹东银行 安徽农信 新疆农信 重
4、庆农信 顺德农商银行 东莞农商银行 新疆农信 中国人保 中国人寿 人寿资产 光大银行,服务能力,客户服务中心 建有北京、成都、上海、广州4个技术支持中心,同时提供产品售前、售后技术支持服务; 拥有一支近百人的专业客户服务技术团队,提供产品售后服务与技术支持。完善的售后服务 全国统一服务热线 售后产品免费培训 量身定制的分析服务 现场技术支持服务 远程技术支持服务,科来产品,科来产品,科来软件 产品资质,公安销售许可认证 军用信息安全产品认证 国家信息安全认证 国家保密局安全认证,网络分析需求,网络服务质量要求在不断提高,文件共享 邮件和信息浏览,OA系统 ERP CRM ,电子商务 物联网 网
5、络金融业务 ,传统网络运维管理的局限性,缺乏对故障、安全问题发生前的异常征兆的分析发现能力,不能及时发现网络、应用或安全方面的隐患,注重资源、设备监控管理,缺乏对网络中通讯流量的透视分析,对于短暂或间歇性发生的问题,缺乏有效的事件回溯方法,因而难以进行有效的事后分析,科来优势,发送,接收,信息数据,数据包,数据流,数据帧,01000100010110100010111,网络总体运行情况,网络服务质量情况,应用交易处理情况,以数据包分析为基础,最真实、完整的网络状态展现,可视化网络管理,科来回溯分析解决方案,科来产品部署,重点区域旁路部署 分布式部署 不影响原有网络架构,回溯分析的核心作用,网络
6、及业务系统性能分析,流量监控、带宽占用、流量构成分析 业务流量梳理、透视业务应用 关键业务通信各环节的响应时间、掌握影响用户感受的关键因素,用户响应时间分析(用户体验值),网络延时分析,网络及业务系统性能分析,网络性能监控,网络利用率、丢包、重传,网络及业务系统性能分析,网络性能监控,网络流量趋势变化 网络流量成分(谁?做什么?影响?),网络时延(客户端时延、服务器端时延),网络及业务系统性能分析,应用性能监控,用户体验时间=网络时延+服务器响应时延+服务器传输数据时延,应用响应时间分析,网络及业务系统性能分析,应用性能监控,通过10.254.245.141在该时间段的应用语句回放,我们发现其
7、中一个请求 “GET /Rmweb/view.do?func=attach:download”的语句,服务器响应了超过34MB字节的流量,总处理时间为10分钟52秒,服务器传输数据时间,网络及业务系统性能分析,关键业务应用性能指标监控,故障快速定位,运维管理的普遍现状,“唉,今天系统又很慢!”,End User 用户,整体业务系统性能,应用程序部门,“是网络问题“ Log都很正常 沒有任何异常 我们已经压力测试过了!,Server部门,“跟我无关” CPU 是正常的 内存的使用率很低 磁盘 Disk I/O 一切正常,网络部门,“没问题啊” 网络流量不多 Ping延迟都正常 Tracerout
8、e 也沒问题,DBA,“沒有什么异常现象” 交易次数比平时多一些,不过这个很正常,IT部门需要处理客户投诉,具体问题在哪里,无从下手,最后问题无限期搁置下去了,故障快速定位,系统化的故障分析过程,用户,应用系统,网络层面分析:网络延时大?丢包多?,应用层面分析:服务响应慢?客户端异常?错误码?,安全层面分析:存在异常访问?被攻击?,蠕虫病毒,DDOS攻击,确保网络安全,网络行为分析 发现和预警网络异常行为 安全事件回溯&取证&告警,主要应用价值,网络的高安全性、高效性、高可用性是我们一直以来的的追求,回溯分析系统功能展现,掌握网络链路流量状况,流量趋势,分类统计分析,网络应用,IP地址,物理地
9、址,网段统计以及警报精细分析,掌握网络链路流量状况,掌握网络链路流量状况,回溯分析系统功能展现,梳理业务服务端口与访问关系,主机服务端口统计和梳理,服务访问关系梳理,梳理业务服务端口与访问关系,回溯分析系统功能展现,关键业务应用性能指标监控,回溯分析系统功能展现,7层协议解码分析,下载选中时段及对象数据包,数据包解码,7层协议解码分析,回溯分析系统功能展现,数据流重组分析,会话交易统计,交易过程精细分析,智能问题诊断,数据流重组分析,回溯分析系统功能展现,5大类全面的实时预警机制 异常行为、异常征兆发现和排查 提前采取措施有效降低非计划停运事件的发生概率,产品型号,科来网络回溯分析系统 企业级
10、分析与管理能力 7*24小时网络流量采集 强大数据存储 (up to 72 TB) 实时专家分析与事后分析 网络安全征兆深度挖掘 自定义应用识别 易用的图形化人机界面,RAS1000,RAS3000,RAS2000,高端RAS5000,RAS6000, ,案例分析,案例:中国移动南方基地公众云的应用,案例:快速发现异常主机_用量异常,南基公众云网络中出现偶发性的流量突发现象,如下图所示:,上述每个客户端的应用构成均是HTTP和SSH:,其中HTTP的数据均是大量的单向流量,这些流量均是无意义的填充数据:,案例:快速发现异常主机_安全异常,同时,这些客户端SSH的数据,均会与大量外网IP地址进行
11、交互:,单个客户端15秒产生的TCP会话数接近5000个:,这些SSH的连接已经有具体的数据交互:,有可能这几台异常客户端已经成为攻击者的肉机,建议管理员及时进行排查;,案例:对内网造成的影响,无突发状态下内网性能统计:,流量突发状态下内网性能统计:,从多次的统计分析数据来看,数个异常突发用量的主机,就会让内网质量明显下降;,1)在南基地公众服务云四期项目中新增较多的万兆服务器;前三期项目虚拟机是千兆服务器,一台异常的千兆服务器产生的流量如下图所示:,上述客户端经过验证是在不定期发送大量无意义的HTTP填充数据;这种异常客户端IP合法、使用的协议端口合法(TCP80端口,HTTP应用),但是1
12、个这样的客户端就能产生接近900Mbps,140Kpps的流量;数个这样的客户端就能让一条10GE链路拥塞,对内网产生各环节增加不必要的负荷; 需要定期对这些异常客户端进行排查处理; 随着万兆服务器的出现,未来内网的优化需求只会愈发明显;,案例:优化依据,案例:设置预警,及时发现异常,南基公众云运维管理者根据历史数据,在科来系统上设置合理的组合条件,进行异常的及时告警:,通过使用科来系统,南基公众云运维部门可以及时发现异常客户端,预先处理,而非等到网络异常再进行排查,这是主动运维的表现;,案例:网银系统间歇缓慢,某银行网银系统间歇性缓慢,严重影响用户感受。问题持续1个多月无法定位,怀疑SSL加
13、密设备问题,但没有有力的证据与厂商交涉。,发现问题,流量趋势未发现异常变化应用性能指标发现异常,分析与取证,客户端SSL Hello包发送后,服务端响应缓慢,案例:系统业务性能分析,通过“服务器IP+服务端口号”方式,可梳理出网络中各个业务系统的流量,主动的对其流量、性能进行监控,业务流量梳理,系统业务性能分析,业务流量监控,系统业务性能分析,业务流量最大的分支机构依次为:南宁、百色、桂林、玉林 服务器平均响应时间(下图平均响应时间):对不同分支机构的响应时间基本在20ms左右,较为稳定 各分支机构网络时延(下图的三次握手时间):南宁最佳,只有4.1毫秒,钦州最差,达到40毫秒,系统流量访问情
14、况分析,系统业务性能分析,系统服务器响应质量分析,“警综系统”TCP连接请求峰值接近750pps,一天总连接请求高达23,524,575次,“警综系统”响应性能:平均响应事件为19.7毫秒,最小响应时延小于0.1毫秒,最大响应时延可高达5分钟 接下来回溯挖掘响应时延最大的是哪些应用语句。,系统业务性能分析,通过排序过滤到比较慢的语句,并对其进行TCP数据流重组分析,我们发现: 1)网络质量分析:服务器端网络时延0.139毫秒,客户端网络时延7.266毫秒,网络质量优异 2)服务器响应性能:收到请求后5.015毫秒便给予响应,性能良好 3)数据传输性能:由于网络和服务器性能良好,所以数据交互效率也很高 4)结论:在网络和服务器性能良好的情况下,7MB字节的数据需要50秒钟才能传完,响应慢语句分析,Q&A 谢谢!,
