首页 > 关于安博通 > 新闻中心
鹰眼 “四步走”分析法,让你分钟级快速定位故障根因
2024-07-19
721

随着企业数字化转型的深入,网络安全已成为各个企业不容忽视的重要议题。但在这个数据驱动的时代,如何快速、准确地定位并解决网络问题,成为了运维人员面临的一大挑战。


这不,运维人员小张今天就遇到了这个难题:


image.png


但到底该从哪里入手排查呢?小张紧张得四处咨询:


image.png


“鹰眼”故障排查“四步走”


“鹰眼”全流量取证系统,以指标趋势可视作为入口,进行异常线索的排查。将负载、质量、TCP指标、建连分析等指标进行统计排名,定位异常目标。深度挖掘异常目标的故障会话,在线分析找到故障根因。最后通过数据包取证,提交数字证据。通过以上故障排查思路,可助客户化繁为简,分钟级快速定位问题。


第一步:看指标


发生网络访问卡顿问题时,常见原因可能包括:负载过高导致超过分配带宽阈值,存在SYN攻击导致新建超过系统规格,服务器资源被占满或者应用忙等。这些原因均会从指标上体现出异常趋势,例如当负载超过带宽阈值时,带宽利用率指标会突增;当存在SYN攻击时,新建会话数指标会骤增;当服务器资源被占满时,对应的TCP零窗口数量指标会增加;应用忙,可能服务器URL响应时间较长,对应服务器响应时间指标会变大。


鹰眼将网络流量数据分为负载、质量、TCP与建连指标四类,帮助定位异常情况。




负载指标包括流速、新建会话、带宽利用率等,是网络运维场景下通常关注的流量信息,具备监控统计的必要性。同时负载信息也是流量出现问题时的基本定位方向。

质量指标包括网络时延、丢包率、响应时间、重传率等。质量指标分析会聚焦具有网络问题或应用问题指向性的数据,引导客户发现异常,减少思考成本。

TCP指标包括SYN、SYN ACK包数量、零窗口数量以及TCP重置数量等,是网络质量的代表性指标,其严重状态能反映当前网络的拥塞情况。

建连指标包括建连失败率、建连失败次数、建立连接时间、TCP无异常三次握手次数等。会话的建立连接分析可用来刻画网络的可用性程度。




鹰眼通过指标趋势可视的方式,将负载指标、质量指标、TCP指标、建连指标一一梳理,通过趋势图即可简单快速地发现异常。如在故障时段,负载指标中的带宽利用率和流速出现了突增。为什么会带宽和流速突增?带着这个疑问,我们进一步排查。


1.jpg

第二步:统计排名


在发现指标异常后,可针对指标进行统计排名与流量分析,定位异常源头。


鹰眼支持从IP、协议、应用、会话等多个视角进行自动流量排名分析。根据趋势图异常点,将流量分析聚焦至异常时段的前后1小时,缩短排查范围,网络应用维度流量自动统计排序,会发现NETBIOS会话服务总流量最大,并且与同时段的其他应用存在量级化差距。


2.jpg

那么NETBIOS会话服务下是谁访问得最多呢?带着这个疑问继续挖掘下钻,在流量分析页面双击NETBIOS会话服务,展开后即从网络应用下钻查看具体源IP与目的IP。


3.jpg


通过下钻,定位到源IP 10.223.x.12访问流量最高,继续双击下钻,定位至源IP为10.223.x.12与目的IP为10.223.x.16的会话通信流量最高,同时明显发现该会话流量与其他会话存在量级式差距。因此,这个会话大概率是故障源头,其详细信息需要继续挖掘探索。


4.jpg


第三步:会话分析


顺着会话,我们继续查看原始数据报文,深挖可疑会话,进一步确定问题原因。


鹰眼支持基于IP会话、TCP会话与UDP会话维度进行深度分析,在会话分析维度支持近百种全网络指标统计分析,一键点击可自动排序


5.jpg

通过会话排查发现,问题会话的流量较大且上行流量高,有可能存在敏感数据上传或写入等异常行为。通过鹰眼内置在线分析工具对会话深度分析,将报文快速解码分析,完成会话排查。


6.jpg


通过在线分析,发现了疑似通过SMB协议进行数据写入的行为:


7.jpg


接下来,需要原始数据报文提供排查的数据支撑,至此故障排查与取证完成闭环。


第四步:数据包取证


最后一步是通过数据包取证验证分析结论。


鹰眼支持基于会话、时段、协议、应用等条件按需下载报文,通过原始报文验证分析结论的准确性。


8.jpg

通过第三方报文分析工具查看发现,在网络卡顿故障时段存在大量文件写入的行为,大幅占用带宽,导致带宽不够用,影响业务访问。


9.jpg


排查结论


小张将“疑似10.223.x.12在工作时间进行大文件写入行为,大幅占用带宽导致业务访问卡顿”的结论同步至相关业务部门。经业务部门确认,确有同事在工作时间段将文件写入外挂存储服务器的行为,于是进行了相应的业务操作规范整改。整改后,业务恢复,不再卡顿。


在这个安全事件频发的时代,鹰眼的“四步走”智能分析能力,为您带来快速定位和分析根因的底气和安全感。当流量出现异常、安全事件频发时,只需“四步”即可迅速定位问题源头。无论是技术大咖还是技术小白,都能轻松上手分析,面对故障排查不再毫无头绪,保障业务稳定运行,让企业实现安全业务“兜底”。



此外,“鹰眼”全流量取证系统还可以提供网络流量梳理、关键数据回溯和业务性能监测能力。通过高性能数据包采集、一体化应用和安全引擎、领先的报文存储和分析算法,采用可溯、可视、可知的理念,构建流量全景可视化,为 IT 信息化建设和数据安全服务提供数据支撑和决策支持。



作为网安上游龙头企业,安博通持续专注网络安全可视化领域,致力将安全能力与客户的业务场景相融合,助力千行百业共赢数字未来。



联系我们
请填写相关信息×

您好!为了提供更优质的服务,请先填写以下信息,帮助我们更快更精准地为您解答。

  • 您的称呼*

  • 电话*

  • 单位*

  • 意向产品

  • 验证码*

  • 提交
×

提交成功

感谢您的反馈!我们将在3个工作日内回复您的需求,请留意查收。