31.1故障描述31.2分析過程31.3分析結論第31章某銀行網銀系統訪問緩慢分析案例

31.1.1故障背景

某銀行用戶反映銀行網銀系統有時訪問較慢，主要表現為打開登錄界面耗時過長。銀行客戶希望能對網銀系統作一個全面的分析，找出故障的原因。31.1故障描述31.1.2網絡拓撲

網銀系統的網絡環境示意圖如圖31-1所示。

圖31-1客戶端訪問網銀系統外網地址，然后經過F5負載均衡設備轉發數據，直接訪問SSL加密設備，再通過SSL設備轉發給網銀系統Web服務器。本案例選擇在網絡出口以及SSL加密設備出口部署科來網絡回溯系統進行抓包分析。

31.2.1分析思路

結合網銀系統網絡拓撲及數據的走向，網銀系統訪問較慢的原因有以下幾點：

(1)網銀系統訪問流量太大，出口鏈路擁塞。

(2)網絡響應延時較大。

(3)網絡設備轉發故障。

(4)網銀服務器本身響應較慢。31.2分析過程31.2.2整體流量分析

對1小時內網銀系統外網出口流量進行統計，總流量為919MB，峰值流量為5Mbps，平均流量為2.2Mbps，如圖31-2所示。

圖31-231.2.3網絡延時分析

在TCP的連接過程中，客戶端和服務器端在網絡中共傳輸三個數據包，俗稱三次握手，這三個數據包都是小包，沒有實際的有效數據載荷。服務器端對客戶端TCPSYN的請求在系統底層響應，響應非常快，該響應同數據包在網絡中傳輸的延遲比可忽略，同時由于都是小包，網絡傳輸延遲非常小，因此在數據包分析中，可以通過三次握手數據包的時間間隔來確定網絡的傳輸延遲，如圖31-3所示。

圖31-3如圖31-3所示，當我們在客戶端和服務器端的網絡中某一點捕獲到客戶端同服務器端的TCP三次握手數據包時，三個數據包在流量分析設備捕獲到的時間分別為T1、T2和T3。這種情況下，T2

-

T1的值可以認為是數據包從捕獲點網絡傳送到服務器，然后服務器再傳回捕獲點的RTT(RoundTripTime)；T3

-

T2的值為數據包從捕獲點傳送到客戶端，然后從客戶端傳送回捕獲點的RTT；T3

-

T1的值可以認為是從客戶端到服務器的RTT。隨機選擇系統外網出口多個完整的TCP會話，通過對TCP三次握手時間進行分析，發現服務器端在收到客戶端的鏈接請求后，都在1毫秒以內給予了響應，這說明網銀系統內部網絡正常，不存在延時，如圖31-4所示。

圖31-431.2.4網銀系統性能分析

對外網出口流量進行分析，重點分析持續時間較長的TCP會話，發現部分會話存在異常，如圖31-5所示。

通過TCP“交易時序圖”可以看出，服務器端在對客戶端的第一個請求進行確認后，經過了7秒才發出了響應數據包。這段時間應該就是導致客戶端訪問網銀系統緩慢的直接原因。為了確定這個延遲產生的具體原因，分析SSL加密設備進出數據，找出相同源IP的TCP會話數據進行對比，發現在SSL加密設備出口處同樣出現服務器端在很長時間后才發出響應數據的情況，如圖31-6所示。

圖31-5

圖31-6外網出口出現的故障現象在SSL加密設備出口同樣存在，證明這段延遲不是在SSL加密設備之前產生，F5到SSL加密設備之間的網絡正常。

進一步分析SSL加密設備和網銀服務器交互數據，由于這部分數據是沒有進行加密傳輸的，因此無法準確定位到之前分析的同一個TCP會話。而通過對大量TCP會話的對比分析，發現SSL加密設備和網銀服務器之間的數據傳輸很快，所有會話都是在1秒之內完成，基本不存在響應延時情況，如圖31-7所示。通過以上的分析，基本可以判定SSL加密設備是造成網銀系統訪問緩慢的原因。而SSL加密設備在進行數據加密之前，會進行一個密鑰的協商，具體過程如圖31-8所示。

圖31-7

圖31-8結合故障數據包分析可以發現，出現延時的數據包是由SSL加密設備向客戶端響應的Serverhello數據包，因此更加可以肯定SSL加密設備就是造成故障的根本原因。

通過以上信息，我們可以作出如下判斷：

(1)鏈路流量值不大，流量穩定，沒有明顯的遞增或遞減趨勢，監控鏈路不存在持續性擁塞問題。