【虹科案例】使用 TCP 分析測量握手時間

如何使用 Allegro Network 萬用表的 TCP 分析確定握手時間

握手需要多少時間？

在圖 1 中，您可以在虹科Allegro 網(wǎng)絡(luò)萬用表的 TCP 統(tǒng)計數(shù)據(jù)中看到過去 10 分鐘的客戶端握手次數(shù)。在這里，您可以清楚地看到在指定時間段內(nèi)有延長的響應(yīng)時間。但為什么會延長呢？是不是互聯(lián)網(wǎng)上的服務(wù)器太遠(yuǎn)？或者可能是無線局域網(wǎng)太弱？但是這些很快就不再是問題了，因為有了虹科Allegro網(wǎng)絡(luò)萬用表，您可以輕松快速地找出響應(yīng)時間過長的位置以及原因。

圖 1：TCP 統(tǒng)計信息一覽

握手時間較長的原因

在圖 2 的表中，所有數(shù)據(jù)都以表格形式顯示。在這里，您可以根據(jù)各種參數(shù)選擇是按升序還是降序排序，從而可以快速查看哪個服務(wù)器或客戶端的平均握手時間最長。

虹科Allegro 網(wǎng)絡(luò)萬用表可以永久記錄和分析握手時間。這樣做的好處是什么呢？您可以一目了然地看到虛擬機(jī)是否存在延遲問題，甚至可能存在的質(zhì)量問題。虛擬機(jī)通常會有這種情況，因為它們都是按照“Best Effort”來運行的。

Best Effort意味著它所分布的計算能力與當(dāng)前可用的計算能力一樣多。

對于一個服務(wù)和另一個服務(wù)（如備份），這種情況可能很好，因為這里的時間片大小并不重要。另一方面，對于ERP系統(tǒng)等服務(wù)，情況看起來卻有所不同。因為ERP系統(tǒng)會發(fā)送許多小請求，它需要的是立即計算能力。

這個對于快速瀏覽握手時間也很好。我們曾經(jīng)遇到過這樣的情況，即握手時間在某些時候會經(jīng)常上升，我們可以很快地判斷出是虛擬機(jī)出了問題。我們意識到了這是由于主機(jī)沒有為虛擬機(jī)分配足夠的處理時間，因此出現(xiàn)重大停頓而造成的原因，其中，機(jī)器幾乎靜止不動，沒有回答任何請求。

圖 2：重要參數(shù)排序表

如果握手時間遠(yuǎn)遠(yuǎn)超過40毫秒怎么辦？

這是你應(yīng)該注意的地方。在這種情況下，通常意味著數(shù)據(jù)包已到達(dá)服務(wù)器，但服務(wù)器要么負(fù)載非常高，要么連接速度太慢。在客戶端方向也是如此。如果客戶端確認(rèn)其在接收的數(shù)據(jù)方面運行緩慢，則可能是客戶端或鏈路過載造成的。

TCP 重新傳輸

虹科Allegro網(wǎng)絡(luò)萬用表使您能夠隨時查看 TCP 統(tǒng)計信息。這使您可以縮小問題所在。對于 TCP 重新傳輸，這同樣是可能的。如圖 3 所示，您可以在菜單項 TCP 重傳下看到連接的所有數(shù)據(jù)包和重新傳輸?shù)臄?shù)據(jù)。這使您可以立即查看重復(fù)的數(shù)據(jù)百分比以及總共傳輸?shù)臄?shù)據(jù)量。

圖 3：TCP 重新傳輸

數(shù)據(jù)何時出現(xiàn)兩次？

如果數(shù)據(jù)在同一個位置出現(xiàn)兩次，則表示遠(yuǎn)程站未收到數(shù)據(jù)。在這種情況下，是設(shè)備和接收系統(tǒng)之間存在過載導(dǎo)致的虹科Allegro網(wǎng)絡(luò)萬用表中數(shù)據(jù)丟失。

實踐中的典型用例：

有人抱怨網(wǎng)絡(luò)太慢。但是如果使用虹科Allegro 網(wǎng)絡(luò)萬用表，您可以直接在服務(wù)器上進(jìn)行測量，以查看其當(dāng)前響應(yīng)時間。如果此處未顯示任何重新傳輸，您還可以查看數(shù)據(jù)在什么時間發(fā)送出去。則可以知道是否有網(wǎng)絡(luò)帶寬問題。除此之外，您還可以查看響應(yīng)時間。如果這些值較低，則可以完全排除網(wǎng)絡(luò)是導(dǎo)致問題的原因。如果問題出在服務(wù)器中或直接在客戶端中，這需要很長時間來處理數(shù)據(jù)。

如何找到無效連接？

在圖 4 中，您可以在”連接無效的 TCP 服務(wù)器”選項卡上的 TCP 統(tǒng)計信息下清楚地識別此類無效連接。通過這種方式，您始終可以立即知道哪個IP地址正在發(fā)送無效請求，并在必要時采取措施。

無效連接是指發(fā)送了 TCP 請求但不顯示任何數(shù)據(jù)。其中一個原因可能是來自外部的攻擊。但也可能是有人正在發(fā)送連接，但根本不想傳輸它們，并且還在客戶端 – 服務(wù)器通信中受到干擾。

在表中，您可能還會看到某些連接包含狀態(tài)”無效”。如果只傳輸了幾個字節(jié)并且已經(jīng)在那里握手，但連接已經(jīng)打開了20個小時并且從未徹底地關(guān)閉，則可能會出現(xiàn)這種情況。請保持警惕，因為這可能是一次攻擊。但請注意，這不是一個安全功能，而是一種早期預(yù)警系統(tǒng)。

圖 4：查找無效連接

TCP 標(biāo)志評估的功能

通過這種方式，您可以輕松快速地查看在什么時間使用了多少標(biāo)志。

這可能表明網(wǎng)絡(luò)中存在問題，例如，如果突然重置速率增加很多。在這種情況下，您可以按發(fā)送或接收最多重置的IP對表進(jìn)行排序，以找到罪魁禍?zhǔn)住?/p>

何時出現(xiàn)零窗口？

由于應(yīng)用程序提取數(shù)據(jù)的速度不夠快，所以當(dāng)數(shù)據(jù)到達(dá)服務(wù)器時，始終會出現(xiàn)零窗口。這與操作系統(tǒng)核心中的緩沖區(qū)有關(guān)。每當(dāng)數(shù)據(jù)到達(dá)操作系統(tǒng)的速度過快時，緩沖區(qū)就會變小。一旦緩沖區(qū)用完，TCP 就會發(fā)送消息”緩沖區(qū)為 0″，即零窗口。這樣做的好處是，可以排除網(wǎng)絡(luò)的問題。這是因為兩個設(shè)備之間的網(wǎng)絡(luò)足夠快，服務(wù)器跟不上的原因。

但同時會有兩個可能的原因：

1. 窗口太小，可能會在其中發(fā)送數(shù)據(jù)。
2. 或者應(yīng)用程序速度太慢，無法接受數(shù)據(jù)

圖 5：TCP 零窗口

在圖 5 中所示的菜單項”TCP 零窗口”下，您可以隨時查看存在哪些零窗口，還可以跟蹤已發(fā)送和接收的窗口數(shù)。同時，您可以看到操作系統(tǒng)可以緩存的數(shù)據(jù)量有多大，即所謂的窗口大小。這是在 TCP 連接開始時通過 Windows 縮放因子協(xié)商的。Windows 比例因子確定最大大小，并且在連接運行時無法更改。

一般來說，出現(xiàn)這些標(biāo)志，都是物理布線，交換機(jī)，路由器，防火墻沒有問題的表現(xiàn)。在這里，問題顯然出在終端設(shè)備及其性能上。因此，如您所見，TCP分析可幫助您快速排除可能的問題并更接近真正的問題。TCP的最大優(yōu)點是它還可以與大量協(xié)議一起使用，特別是對于SSL等完全加密的流量，因為TCP在ssl中也有使用。

應(yīng)用示例：

使用虹科Allegro網(wǎng)絡(luò)萬用表，您可以輕松地按發(fā)送最多 TCP 零窗口的應(yīng)用程序進(jìn)行排序。在我們的例子中，有很多來自備份系統(tǒng)。我們可以通過更仔細(xì)地觀察看到每秒發(fā)送500個零窗口數(shù)據(jù)包的時間。同時，響應(yīng)時間也非常慢。這是什么原因呢？

在”對等”項目下，我們看到從我們的磁盤站傳輸了66 GB的大容量。在這種情況下，每晚我們都會把中央 NAS 備份到舊 NAS。現(xiàn)在新 NAS 比舊 NAS 更快，也可以更快地發(fā)送數(shù)據(jù)。

使用過濾器排除流量

通常，在安裝時，您要么獲得大型鏡像端口，要么從數(shù)據(jù)包代理處獲得大量數(shù)據(jù)。為了分析這一點，我們內(nèi)置了一個網(wǎng)絡(luò)過濾器。這樣，您可以輕松忽略某些不想記錄或分析的流量。

此類連接還可以定義為黑名單或白名單。也許您有與您的測量相關(guān)的某些IP或MAC濾波器?；蛘?，反之亦然，您希望排除在任何情況下都不應(yīng)分析的某些計算機(jī)。請注意，即使單個數(shù)據(jù)包已被排除，仍然可以在接口統(tǒng)計信息中看到它們，但這不是Allegro網(wǎng)絡(luò)萬用表的問題，這是因為數(shù)據(jù)包存在并已注冊。但在處理它們之前，它們被過濾掉并在內(nèi)部丟棄。為了幫助您跟蹤這一點，我們已將”過濾流量”部分安裝到儀表板中。

如圖 6 所示，您將在此處找到以下區(qū)域的篩選器函數(shù)：IP 地址、子網(wǎng)、IP 對、MAC 地址、VLAN、端口、網(wǎng)絡(luò)接口篩選器。

篩選時的鏈接是基于 OR 的，這意味著每個篩選器都是單獨應(yīng)用的。例如，如果同時應(yīng)用 MAC 篩選器和 IP 篩選器，那么一旦地址遇到該流量，就會將其過濾掉。在相反的情況下，如果您添加了許多IP地址，則它們將被Or鏈接，并且一旦命中IP地址，就會應(yīng)用過濾器。

圖 6：篩選特定流量

結(jié)論

虹科 Allegro網(wǎng)絡(luò)萬用表中的 TCP 分析和握手次數(shù)測量功能可以快速分析錯誤并檢測可能的攻擊。