如何使用 Allegro Network 萬(wàn)用表的 TCP 分析確定握手時(shí)間

握手需要多少時(shí)間？

在圖 1 中，您可以在虹科Allegro 網(wǎng)絡(luò)萬(wàn)用表的 TCP 統(tǒng)計(jì)數(shù)據(jù)中看到過(guò)去 10 分鐘的客戶(hù)端握手次數(shù)。在這里，您可以清楚地看到在指定時(shí)間段內(nèi)有延長(zhǎng)的響應(yīng)時(shí)間。但為什么會(huì)延長(zhǎng)呢？是不是互聯(lián)網(wǎng)上的服務(wù)器太遠(yuǎn)？或者可能是無(wú)線局域網(wǎng)太弱？但是這些很快就不再是問(wèn)題了，因?yàn)橛辛撕缈艫llegro網(wǎng)絡(luò)萬(wàn)用表，您可以輕松快速地找出響應(yīng)時(shí)間過(guò)長(zhǎng)的位置以及原因。

圖 1：TCP 統(tǒng)計(jì)信息一覽

握手時(shí)間較長(zhǎng)的原因

在圖 2 的表中，所有數(shù)據(jù)都以表格形式顯示。在這里，您可以根據(jù)各種參數(shù)選擇是按升序還是降序排序，從而可以快速查看哪個(gè)服務(wù)器或客戶(hù)端的平均握手時(shí)間最長(zhǎng)。

虹科Allegro 網(wǎng)絡(luò)萬(wàn)用表可以永久記錄和分析握手時(shí)間。這樣做的好處是什么呢？您可以一目了然地看到虛擬機(jī)是否存在延遲問(wèn)題，甚至可能存在的質(zhì)量問(wèn)題。虛擬機(jī)通常會(huì)有這種情況，因?yàn)樗鼈兌际前凑铡癇est Effort”來(lái)運(yùn)行的。

Best Effort意味著它所分布的計(jì)算能力與當(dāng)前可用的計(jì)算能力一樣多。

對(duì)于一個(gè)服務(wù)和另一個(gè)服務(wù)（如備份），這種情況可能很好，因?yàn)檫@里的時(shí)間片大小并不重要。另一方面，對(duì)于ERP系統(tǒng)等服務(wù)，情況看起來(lái)卻有所不同。因?yàn)镋RP系統(tǒng)會(huì)發(fā)送許多小請(qǐng)求，它需要的是立即計(jì)算能力。

這個(gè)對(duì)于快速瀏覽握手時(shí)間也很好。我們?cè)?jīng)遇到過(guò)這樣的情況，即握手時(shí)間在某些時(shí)候會(huì)經(jīng)常上升，我們可以很快地判斷出是虛擬機(jī)出了問(wèn)題。我們意識(shí)到了這是由于主機(jī)沒(méi)有為虛擬機(jī)分配足夠的處理時(shí)間，因此出現(xiàn)重大停頓而造成的原因，其中，機(jī)器幾乎靜止不動(dòng)，沒(méi)有回答任何請(qǐng)求。

圖 2：重要參數(shù)排序表

如果握手時(shí)間遠(yuǎn)遠(yuǎn)超過(guò)40毫秒怎么辦？

這是你應(yīng)該注意的地方。在這種情況下，通常意味著數(shù)據(jù)包已到達(dá)服務(wù)器，但服務(wù)器要么負(fù)載非常高，要么連接速度太慢。在客戶(hù)端方向也是如此。如果客戶(hù)端確認(rèn)其在接收的數(shù)據(jù)方面運(yùn)行緩慢，則可能是客戶(hù)端或鏈路過(guò)載造成的。

TCP 重新傳輸

虹科Allegro網(wǎng)絡(luò)萬(wàn)用表使您能夠隨時(shí)查看 TCP 統(tǒng)計(jì)信息。這使您可以縮小問(wèn)題所在。對(duì)于 TCP 重新傳輸，這同樣是可能的。如圖 3 所示，您可以在菜單項(xiàng) TCP 重傳下看到連接的所有數(shù)據(jù)包和重新傳輸?shù)臄?shù)據(jù)。這使您可以立即查看重復(fù)的數(shù)據(jù)百分比以及總共傳輸?shù)臄?shù)據(jù)量。

圖 3：TCP 重新傳輸

數(shù)據(jù)何時(shí)出現(xiàn)兩次？

如果數(shù)據(jù)在同一個(gè)位置出現(xiàn)兩次，則表示遠(yuǎn)程站未收到數(shù)據(jù)。在這種情況下，是設(shè)備和接收系統(tǒng)之間存在過(guò)載導(dǎo)致的虹科Allegro網(wǎng)絡(luò)萬(wàn)用表中數(shù)據(jù)丟失。

實(shí)踐中的典型用例：

有人抱怨網(wǎng)絡(luò)太慢。但是如果使用虹科Allegro 網(wǎng)絡(luò)萬(wàn)用表，您可以直接在服務(wù)器上進(jìn)行測(cè)量，以查看其當(dāng)前響應(yīng)時(shí)間。如果此處未顯示任何重新傳輸，您還可以查看數(shù)據(jù)在什么時(shí)間發(fā)送出去。則可以知道是否有網(wǎng)絡(luò)帶寬問(wèn)題。除此之外，您還可以查看響應(yīng)時(shí)間。如果這些值較低，則可以完全排除網(wǎng)絡(luò)是導(dǎo)致問(wèn)題的原因。如果問(wèn)題出在服務(wù)器中或直接在客戶(hù)端中，這需要很長(zhǎng)時(shí)間來(lái)處理數(shù)據(jù)。

如何找到無(wú)效連接？

在圖 4 中，您可以在”連接無(wú)效的 TCP 服務(wù)器”選項(xiàng)卡上的 TCP 統(tǒng)計(jì)信息下清楚地識(shí)別此類(lèi)無(wú)效連接。通過(guò)這種方式，您始終可以立即知道哪個(gè)IP地址正在發(fā)送無(wú)效請(qǐng)求，并在必要時(shí)采取措施。

無(wú)效連接是指發(fā)送了 TCP 請(qǐng)求但不顯示任何數(shù)據(jù)。其中一個(gè)原因可能是來(lái)自外部的攻擊。但也可能是有人正在發(fā)送連接，但根本不想傳輸它們，并且還在客戶(hù)端 – 服務(wù)器通信中受到干擾。

在表中，您可能還會(huì)看到某些連接包含狀態(tài)”無(wú)效”。如果只傳輸了幾個(gè)字節(jié)并且已經(jīng)在那里握手，但連接已經(jīng)打開(kāi)了20個(gè)小時(shí)并且從未徹底地關(guān)閉，則可能會(huì)出現(xiàn)這種情況。請(qǐng)保持警惕，因?yàn)檫@可能是一次攻擊。但請(qǐng)注意，這不是一個(gè)安全功能，而是一種早期預(yù)警系統(tǒng)。

圖 4：查找無(wú)效連接

TCP 標(biāo)志評(píng)估的功能

通過(guò)這種方式，您可以輕松快速地查看在什么時(shí)間使用了多少標(biāo)志。

這可能表明網(wǎng)絡(luò)中存在問(wèn)題，例如，如果突然重置速率增加很多。在這種情況下，您可以按發(fā)送或接收最多重置的IP對(duì)表進(jìn)行排序，以找到罪魁禍?zhǔn)住?/p>

何時(shí)出現(xiàn)零窗口？

由于應(yīng)用程序提取數(shù)據(jù)的速度不夠快，所以當(dāng)數(shù)據(jù)到達(dá)服務(wù)器時(shí)，始終會(huì)出現(xiàn)零窗口。這與操作系統(tǒng)核心中的緩沖區(qū)有關(guān)。每當(dāng)數(shù)據(jù)到達(dá)操作系統(tǒng)的速度過(guò)快時(shí)，緩沖區(qū)就會(huì)變小。一旦緩沖區(qū)用完，TCP 就會(huì)發(fā)送消息”緩沖區(qū)為 0″，即零窗口。這樣做的好處是，可以排除網(wǎng)絡(luò)的問(wèn)題。這是因?yàn)閮蓚€(gè)設(shè)備之間的網(wǎng)絡(luò)足夠快，服務(wù)器跟不上的原因。

但同時(shí)會(huì)有兩個(gè)可能的原因：

1. 窗口太小，可能會(huì)在其中發(fā)送數(shù)據(jù)。
2. 或者應(yīng)用程序速度太慢，無(wú)法接受數(shù)據(jù)

圖 5：TCP 零窗口

在圖 5 中所示的菜單項(xiàng)”TCP 零窗口”下，您可以隨時(shí)查看存在哪些零窗口，還可以跟蹤已發(fā)送和接收的窗口數(shù)。同時(shí)，您可以看到操作系統(tǒng)可以緩存的數(shù)據(jù)量有多大，即所謂的窗口大小。這是在 TCP 連接開(kāi)始時(shí)通過(guò) Windows 縮放因子協(xié)商的。Windows 比例因子確定最大大小，并且在連接運(yùn)行時(shí)無(wú)法更改。

一般來(lái)說(shuō)，出現(xiàn)這些標(biāo)志，都是物理布線，交換機(jī)，路由器，防火墻沒(méi)有問(wèn)題的表現(xiàn)。在這里，問(wèn)題顯然出在終端設(shè)備及其性能上。因此，如您所見(jiàn)，TCP分析可幫助您快速排除可能的問(wèn)題并更接近真正的問(wèn)題。TCP的最大優(yōu)點(diǎn)是它還可以與大量協(xié)議一起使用，特別是對(duì)于SSL等完全加密的流量，因?yàn)門(mén)CP在ssl中也有使用。

應(yīng)用示例：

使用虹科Allegro網(wǎng)絡(luò)萬(wàn)用表，您可以輕松地按發(fā)送最多 TCP 零窗口的應(yīng)用程序進(jìn)行排序。在我們的例子中，有很多來(lái)自備份系統(tǒng)。我們可以通過(guò)更仔細(xì)地觀察看到每秒發(fā)送500個(gè)零窗口數(shù)據(jù)包的時(shí)間。同時(shí)，響應(yīng)時(shí)間也非常慢。這是什么原因呢？

在”對(duì)等”項(xiàng)目下，我們看到從我們的磁盤(pán)站傳輸了66 GB的大容量。在這種情況下，每晚我們都會(huì)把中央 NAS 備份到舊 NAS?，F(xiàn)在新 NAS 比舊 NAS 更快，也可以更快地發(fā)送數(shù)據(jù)。

使用過(guò)濾器排除流量

通常，在安裝時(shí)，您要么獲得大型鏡像端口，要么從數(shù)據(jù)包代理處獲得大量數(shù)據(jù)。為了分析這一點(diǎn)，我們內(nèi)置了一個(gè)網(wǎng)絡(luò)過(guò)濾器。這樣，您可以輕松忽略某些不想記錄或分析的流量。

此類(lèi)連接還可以定義為黑名單或白名單。也許您有與您的測(cè)量相關(guān)的某些IP或MAC濾波器。或者，反之亦然，您希望排除在任何情況下都不應(yīng)分析的某些計(jì)算機(jī)。請(qǐng)注意，即使單個(gè)數(shù)據(jù)包已被排除，仍然可以在接口統(tǒng)計(jì)信息中看到它們，但這不是Allegro網(wǎng)絡(luò)萬(wàn)用表的問(wèn)題，這是因?yàn)閿?shù)據(jù)包存在并已注冊(cè)。但在處理它們之前，它們被過(guò)濾掉并在內(nèi)部丟棄。為了幫助您跟蹤這一點(diǎn)，我們已將”過(guò)濾流量”部分安裝到儀表板中。

如圖 6 所示，您將在此處找到以下區(qū)域的篩選器函數(shù)：IP 地址、子網(wǎng)、IP 對(duì)、MAC 地址、VLAN、端口、網(wǎng)絡(luò)接口篩選器。

篩選時(shí)的鏈接是基于 OR 的，這意味著每個(gè)篩選器都是單獨(dú)應(yīng)用的。例如，如果同時(shí)應(yīng)用 MAC 篩選器和 IP 篩選器，那么一旦地址遇到該流量，就會(huì)將其過(guò)濾掉。在相反的情況下，如果您添加了許多IP地址，則它們將被Or鏈接，并且一旦命中IP地址，就會(huì)應(yīng)用過(guò)濾器。

圖 6：篩選特定流量

結(jié)論

虹科 Allegro網(wǎng)絡(luò)萬(wàn)用表中的 TCP 分析和握手次數(shù)測(cè)量功能可以快速分析錯(cuò)誤并檢測(cè)可能的攻擊。