案例-xxxx故障分析报告

1、说明：1 .本报告是成都科来软件安徽办事处针对xxxx的网络故障所做的分析报告，因此该报告可以由xxxx的相关人员和科来安徽办的技术人员进行相应的查阅、更改或完善。2 .该报告中可能会涉及到用户网络内部的相关敏感信息，我方任何技术人员不得对外泄漏，否则，由此造成的后果一切由其本人负责，与科来公司无关。3 .该报告内容全部为成都科来安徽办事处组织创作，科来安徽办事处具有其版权，任何其他组织或个人不得在没有科来安徽办授权的情况下传播该文档。4 .安徽办事处具有对该报告文档的解释权。目录1故障描述1.1.1 故障环境1.1.2 故障现象1.2故障分析1.确认故障点1.部署科来网络分析系统2.数据包分

2、析2.分析结论6.3总结6.1故障描述故障环境xxxx的互联网的结构比较简单，通过核心和防火墙直接相连，中间没有任何的网络监控、管理设备，示意图如下所示：xxxx的防火墙走的是路由模式，内部员工上网通过防火墙进行地址转化,转换成公网地址。故障现象打开网页速度比较慢，但是下载的速度很快，而且利用web页面上传邮件附件也很慢，几兆的附件经常上传不上去。同时利用WEB页面登陆防火墙的速度也很慢。2故障分析确认故障点通过上面的介绍，我们可以发现在上网慢时只经过了核心交换机和防火墙,所以可疑的故障点有以下几个位置：部署科来网络分析系统为了找到故障的具体位置，我们找一台慢的主机装上科来网络分析系统，然后在

3、核心交换和防火墙之间部署上科来网络分析系统,通过端口镜像来捕获通信的数据包:f料网络分析系统数据包分析1、分析防火墙有无丢包、延时。同样的，我们做故障还原测试，并利用防火墙自带的抓包功能来抓取网络通信的数据包，同时在客户端进行抓包。通过测试得到如下的数据包：时间黑目标W太小物霍:!19gL&9,B0mF66序列号:2919计花斜，隔认号ROOODODODaj标志:一.1.隹度二D,口二B55350040T89J0960的m?前序列号=0917型392s.扉IU号=29197235.标茬=.A5，长度=Q.国口=3朋。0.0DQD66:配L09:60MTTF的序列号RgiQ却花35.商认

4、号=87丁2739相1.标志不k.R长度=D.朝口:65535,校能加雪谡口Q口廊:|99LHTTP14iaCPDT乃廉/电皿强电/呻1冢j-G.p?5iDBTaoqrQLLylpAinhtvZwE0.0必如：1蛇L皑闻mp刈二C:E帝惠蒲均3字节的数据0.03950?09B01991HTTPTO序列号H&T7ZT39Z9.哪M号片019377235,标志工.长度二D,球口二5MD,校过和编像0.000043：1991居80mFL4S8C继谖威非tfTH通信，3400平节的二迸制黔掂0.04255L力g：BQ，网HTTPTD序列号RB7TZT332gli瑜认号=29193172珥标志二

5、1L.,长度二口.窗口二5MD,拔嚏流精溪00QQ050:师阵B0NTT?IM8t2.电32喀!：1991:1.,45B二FDGr/1B.际:I99L百B0HTTP1,450C.POST/11.970437:I99L的的HTTPL4S0CrPOST/24.039202jgrgi03B0mp1.458匚POST/0同即为9国的mp,TO序列号=Q9TT型39gg.聃U号=29193602用.粽志=.A,长度=Q定口=6400.巧胎和占误0.0D0D64：miD3：B0mmltI<58C就衰或非HJIT通信，】4a口字节的二进制拈据0000019:|99Lg即m?ljQ58C雉柒就非肛口遇信

6、，1也口字节的二道制数据47.电S3为电:|埼1附闻mrL4S6C:好虱非闺疗滑信.3400字节的二J迸割戮据0.05gLl58空geqE99LmpM序列号口前羽科确认号=291933L日0标志三.长度R端口三113J口0.000039:I99L闻80mr1.45H击传JC-谯续加E时仃诵信，】的口字节的二进制数推0.QDaDl.6:1即BB0HTTP1.458C垠会或芈HJIT返信，】4a口手节的二进制数幅客户端数据包厚阳烟草.wystenfttcpdiutp-1eth2hostIflnrtho：；tKcpdunp：UARNING：eth2：noPu4AddwsE&=sinedlep

7、dunp：verboseoutputsuppre3scd,usevorvvforFuLLprotocoldecode68b9tes29i?377234：29193772steninon亡th2.link-typeENltiHB<Ethernet>captureIze：H1：b2.96H0&7RPothZIPb(B.l?91>nl.con.8tt：S34<0>win6GDGAS：ei：52-798297<ns&opnoprsdckOK>XPcth2IF.corT80.1991=S077273928；877273920K0>ack2V

8、19377235winB9：B1:S3.000040Reth2M=01；53.000532A<9th21win65535EB：I31：53.039231XPcth25B4W<fftas14国召ckOH>JI>Kia-HH.cDn.80：IPnl2-H.con.80>biB.1991：ack1uinP1361：lfa44<2e3>«kLnopA«ack1<131：144>>68：eii53-042«86Recth2IF1win65535>nl2.S0_ack1winS84W<non:,1644：

9、3644<14061>acHEH：(ai;S3.081827Xeth2IPnl2.ccn.«H>h(,1991：.,nop,sack1(1361±3044>>08；B2：13.72172BX(?cth2IFr12H.cor.BS>b(M.l?8J!PK2fib>±tk3121251H9Swin32767<nop,nop.sack1<2»»1：42H1>>08：(32：38«069783R0eth2IFboH.1991>nlcon.8B：Min65550Bt02：3

10、8.L882B?X(?eCh2IP>be.19%：.nDp>nop.,saclc1<1361>Atk1winSH4M<non65271932A:652719614l：H01<140tJ>ack1ack304win«4S9<防火墙入口数据包序阳Xtcpdunp-iethlhost2tcpdunp：uerboseoutputsuppressed,use-vor-uuforfullprotocoLdecodelisteningonethl*link-typeFM1MMHEther*net>*capturetizebHhytbe的：1逐2

11、,96皿翻X&thlIF22eH，1991>nl2S：2919377234(fl>win6ss35<nsv14(1(1,nopfnnp.sackOK>0fl：01：52.9982*3HPethlIPnl2B8>.1991：GR77273928<»>«ck2?19377235win584R<nsi146R.noL>.nop.5ackOK>BS：01：53.000043XeethlIPA991>.con.80：.£5535B8：B1：93.000E34XButhlIP1991>,can.8

12、0：P2B3>ack1uin6s53sB8：ei：53.B3922«RAtkl1P«il-<11.8u2:>.1991：.5840<nopPnop,sack1<1361il644)>B8;01：53.042892X?vthlIP.19VL>nl2-M.con.10;.1400>ack1wlh65G3GB8：01:53.881823RFethlIPhl2-B.coR.8S>U991：.584M<nnp,noprsack1<1361：3Q44)>BB：B2：13«721717RBtthlIPr12

13、.前>1983：Pb52719&14<286>ack3121251095uifi32767<nop,nop,sack1(2801：42H1>>M；02；38.069711XPclMIP1991>ni2-,con.a0：PB>Ack1win65535B6：02：38.188282R8ethlIPnl2.80>1991：.in1HkNd10产.1100,生曰>1<1013$1$1锄1>>291937723487727328：«ck1win1361：1644<ack1winIK44;W«H

14、4ack1win65271932R：Ack3H44w防火墙出口数据包通过上面的数据包我们可以得出一个数据包交互图:客户端mA霭Ml出一翼-IS飙风蹴！：溶限血£飕：制A曲！；：.T口褪黑：网心私tU微二倒:鬻J双口麟错二独A杪反以蝌僵：痴ImUtiH：圈*如口懈汗防火墙入口防火墙出口一环题灯修门风口nf职区£1虢凶：国f飘口土糖：厘电以母r卿一值妣球f面n|修:注u口fitS：威f口域5：破风口蘸马工枷f魏）a赫d：唱通过比较数据包，我们可以发现在防火墙入口处有数据包丢失！造成这种丢失的最大可能性就是防火墙和中间设备之间有其他网络设备导致数据包丢失，但是在防火墙和客户端之间

15、没有其他设备，只有一个核心交换机，为了能够准确找出故障点，我们再捕获防火墙和核心交换之间的数据包与客户端发送的数据包进行比较。2、检测核心交换和客户端之间有没有丢包、延时。部署好分析软件后，我们做故障还原测试，并同时开启在客户端和核心交换处的抓包工具，得到如下的数据包:/概要直撕他谀在端点1f自尊“TCP会活"血喳语走降数据包f日志"IRS!4婕|/220.18112208KTC节点17节点£数据包字节协议存续时间字节与节二S5143.157KBHTTT00:00:252.28SKB893Byic35364纳:80122.T49KBHTTP00:00:251.80

16、6KB96TB3541:60215Z55KBHTTP00:00:224.117KB1.138KBgir3542讨纳:30927808.376KBHTTP00:01:53705.104KE23.271KByir3543.230:80124.128KBHTTP00:00:273.172KB979B，数普包数据疏时序圉编号时间差源目标协说大小解.梅要1118£241KTTF62戚号=。*4m11200.1339837twebmsUSEK-3CKTTf62序列号R066TK11210.000024UEEfi-cS24twebmai:80KTTf54序列号=口的41正11220.000342U

17、SES-*E24twebmai:SflHTTP1,454C:POST/js37:11230.000006USERY3524LweLmai:60HTTf59C.HHF流还有1E11240.0000TBUSEEY3524Lwehnai:60HTTP549C.HHF流还有!1125D.03HS71twehn1.USEE-3CKTTf60序列号=。0667H11260.0M009twelbms立一USES-3CHTTP60序列号寺境MIF11270.0M006twel>m5工一IEES-3CKTTF60序列号=口况6丁1111280.056830twebm耳3.US如就ICTTf59.1s：mp

18、/i.o2t1129Or141006IJEES-J1S24IweKnai&aKTTF54序列号=。9941翼133823,956147twe'bm耳USES-3CKTTF80序列号=0能6打，1M7D000028ISMIwetrfhai:B0HTTP54序列号=。寅4仃413400.90Z166lEEET4Iwelwn：BOHTTP54序列号=。&941胃68<->220.181.12.客户端数据包/假怪崔断国研工隔点IF会段"TCF会话prop合法矩即数据包旧至T丽©建L而£,08VT

19、I节点i-一节点卫数据包字节W苗续时间字节7与节医10客1035213536S£2C王丽.:808014123.236KB2.819KBNTTTKTTT00:00:2500:00:252.341KBL.855KE91TB987B客109541S220.税215.360KBHTTP00:00:224J用KE1meb占103542出380926810.579KBHTTP00:01:37785.858EE24.721KB国3543124.192KBKTTT00:00:273217KE999B<|，激霜包“数据流时序图5><4*近C，i0rsa.u.iae<->

20、zzaribi.12.舔号时间蹙海.,目徐的谀大小解.概要S&l器序列号EBSBEfll5E20.037422twe立.USER-3HTTP茹序列号及5«1罚七0.00008BUSE：3543twebna.60WTP84序列号二1能6挽15E40.000367USE3S43twehnan80HTTP1.44匕C.POST/jx3/tsss0.000021USE3543twehna-nBOKTTF132C.KTtP流还有1r.iv.D.036475twe居UEER-3；KTTF70序列号=2居150?B393.00244DUEE：3543twebftanBDIffTPL45BC.POSTB40Q.039309tw*1J.UEEE-3：ffTTFTO序列号=25815($&41QQD9TT4Ttw«UEEE-3；KTTF729S：KT1T/I0EC6仃D2W41USE：3543twnbii«n&oKTTF序列号M1B36kE111024618S