科来:回溯分析提取关键业务数据中断
科来:回溯分析提取关键业务数据中断
2016-06-20 10:40:45 来源:互联网
抢沙发
2016-06-20 10:40:45 来源:互联网
摘要:络故障隐藏在人们肉眼看不到的地方,不易察觉。网络分析技术帮助运维人员从宏观世界走进数据包级的微观世界,如同披上斯科特 朗的战衣化身“蚁人”
关键词:
科来
络故障隐藏在人们肉眼看不到的地方,不易察觉。网络分析技术帮助运维人员从宏观世界走进数据包级的微观世界,如同披上斯科特.朗的战衣化身“蚁人”,通过对微观世界数据包级的统计分析,完成了对业务应用的故障分析定位,诠释网络故障分析的便捷和高效。
一、问题描述
某运营商采集机需要到支付平台FTP服务器提取文件,在提取文件时,经常发生采集脚本提取失败并停止运行的情况,通过总结失败文件,发现提取失败存在一定的规律,即文件名称结尾为“227”的文件在提取时都会失败。
二、应用访问网络路径
下图是和网络人员沟通的网络示意图,采集主机通过交换、路由、防火墙等网元设备,与支付平台FTP进行交易数据传输。由于故障现象是数据文件名称发生的变化导致采集脚本终止,定义为应用层的问题,我们注意力关注在防火墙等三层以上的设备上,固将抓包点分别放在了FW-1前、FW-2前、FW-3后,进行数据包分析。
三、分析过程
模仿之前故障现象进行测试,在支付平台上创建一个以“227”结尾的文件,例如“TEST227.DAT”的文件,同时在采集主机上运行脚本进行显示和采集。
从抓包点1、2上解码分析数据包payload,发现要显示的文件名称变为“TEST22_.”, 如下图。这样判断故障点是在右侧,靠近支付平台这端。
同时,抓包点3上提取数据包进行解码分析,需要采集的文件名称仍为“TEST227.DAT.”,不会发生变化,如下图。
经过多次试验后发现,如果采集文件名称为“XXXX227.DAT”,采集机通过FTP协议显示或提取就会变为“XXXX22_.DAT”,这时采集脚本会出现异常情况,造成停止运行,以后的数据文件不会被传送,从而产生数据积压。
四、分析结论
因此,综上可判断文件名称发生变化的节点在于抓包点2、3之间,也就是两道防火墙FW-2、FW-3,由于中间无法镜像流量,所以初步判断两台防火墙其中之一对FTP数据进行了修改。
通过其他部门沟通厂商分析配置并了解到,FW-3为Check Point防火墙,由于该防火墙开启了FTP检测,认为出现227(文件名称/文件大小)就是攻击行为FTP Bounce,导致出现文件名替换问题。
由于国外某著名防火墙厂商对于协议的安全检测选项,相比其他防火墙都要精细,在修改对于227的安全检测配置后,此类问题得到解决。
五、网络分析价值
由于网络架构不断发展升级,形式各样的应用故障总是层出不穷,应用访问要经过大量的中间设备,常规分析手段难以判断出现问题的节点。通过网络分析技术能做到2-7层解码,还原网络中最真实的数据,能够检测中间设备的异常传输,发现造成的应用异常的根本原因。
第四十一届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:chenjian
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
