案例背景

  某電力咨詢院每天8點到9點之間與總部開視頻會議,雙方圖像出現(xiàn)馬賽克,嚴重時出現(xiàn)黑屏造成會議無法正常進行,嚴重影響了正常辦公。此故障持續(xù)已有3年,網(wǎng)管通過各手段排查,但一直沒有找到問題的根本原因。近日,部署科來網(wǎng)絡回溯分析系統(tǒng)對內(nèi)網(wǎng)核心交換機總出口的流量進行了7×24小時監(jiān)控,并通過回溯分析系統(tǒng)提取出問題時段的通信數(shù)據(jù),我們找到了導致用戶視頻會議馬賽克的主要原因。用戶的網(wǎng)絡環(huán)境示意圖如下:

  本案例中部署科來回溯分析系統(tǒng)的目的是對內(nèi)網(wǎng)專線總出口的流量監(jiān)控和分析,因此采用的是核心交換總出口端口鏡像的方式。

  案例分析

  首先,我們要對內(nèi)網(wǎng)總出口流量狀況進行評估,若發(fā)現(xiàn)間歇性的流量突發(fā),且突發(fā)時間點與視頻會議馬賽克的時間點吻合,可推斷是網(wǎng)絡擁塞導致視頻會議出現(xiàn)故障。

  經(jīng)過一個星期的跟蹤和分析我們發(fā)現(xiàn),自4月20日到4月28日每天早上在8:00-9:00之間流量較大,網(wǎng)絡利用率高于40%。我們具體分析突發(fā)流量,選擇突發(fā)流量較嚴重的4.23日(時間在8-9點之間網(wǎng)絡利用率達到37%左右,實際突發(fā)高達50%)。從理論上講網(wǎng)絡利用率超出30%就會產(chǎn)生丟包,當前時間段網(wǎng)絡擁塞出現(xiàn)丟包,據(jù)網(wǎng)絡管理員測試視頻會議終端確實存在丟包。

  對于流量突發(fā)造成網(wǎng)絡擁塞,我們需要弄清楚在流量突發(fā)時具體業(yè)務應用。通過回溯分析,選擇流量峰值23日8:00-9:00之間的通訊數(shù)據(jù),網(wǎng)絡應用流量分布如下圖所示:

  從上圖中可以看出基本上都是未知UDP流量。(視頻會議走的是UDP協(xié)議,需要弄清楚UDP流量是否都是視頻會議產(chǎn)生的流量)下載UDP流量進行分析。

  發(fā)現(xiàn)主機10.8.44.147等運行的都是UDP的2425號端口,且對端也都是2425號端口,這些主機向網(wǎng)絡中10.3網(wǎng)段發(fā)出掃描(B類網(wǎng)段),像類似掃描地址很多,產(chǎn)生較大掃描流量從路由器子接口發(fā)出,造成網(wǎng)絡擁塞,嚴重影響了視頻會議通訊。定位其IP,可發(fā)現(xiàn)掃描量很大。

  通過查看數(shù)據(jù)報文信息,了解到UDP2425號端口是飛鴿聊天軟件默認的端口,通過和網(wǎng)絡管理員交流,得知網(wǎng)絡中很多主機安裝飛鴿軟件。且員工在飛鴿軟件上設置IP范圍很大(基本上都是B類網(wǎng)段指向總部)。

  關于飛鴿軟件工作特點:在PC開機時,會自動向網(wǎng)絡中發(fā)出大量UDP廣播包,掃描在線的主機地址。飛鴿軟件的工作原理如下:

  (1)最關鍵的是局域網(wǎng)用戶列表的建立;飛鴿啟動時使用UDP協(xié)議向255.255.255.255這個廣播地址發(fā)送廣播包,默認端口是2425。廣播包內(nèi)容包含用戶名、工作組、主機名、IP等信息; 已啟動飛鴿的用戶通過2425端口收到此廣播包后,就會在自己的用戶列表中添加這個用戶的用戶名、工作組等信息,同時向對方IP發(fā)送本機用戶的個人信息;從而雙方都能建立起用戶列表;

 ?。?)刷新用戶列表時發(fā)送的廣播包和啟動時差不多,只不過返回的標識信息略有不同;可以做一個小工具,監(jiān)控2425端口內(nèi)存流,就能截獲刷新和聊天時的消息。

 ?。?)傳送聊天信息時同樣使用UDP協(xié)議;由于UDP協(xié)議是無連接協(xié)議,傳輸速度快,但是沒有確認機制,是不可靠的協(xié)議,需要自己定義返回信息的標志來判斷對方是否收到信息;

  (4)用戶離線時發(fā)送一個離線廣播包到255.255.255.255,收到此廣播包的用戶,根據(jù)包中的IP地址(也可能是多種判斷標志或者包含硬件標識,比如網(wǎng)卡地址等)刪除對方的用戶列表信息;

 ?。?)廣域網(wǎng)無法直接使用廣播方式,靠手工添加"局域網(wǎng)外廣播列表"來建立相互的關系;

  (6)飛鴿傳送文件是使用TCP協(xié)議,端口2425

  分析結論

  通過以上分析,我們可以判定出:

  1、用戶視頻會議設備出現(xiàn)馬賽克和網(wǎng)絡設備硬件無關;

  2、這一現(xiàn)象是由于用戶飛鴿軟件設置IP地址范圍大,每天8:00-9:30又是上班的高峰期,用戶集體開機大量的掃描報文會發(fā)向總部,堵塞網(wǎng)絡,造成帶寬利用率過高,同時也影響了核心設備的性能,因此導致視頻會議出現(xiàn)馬賽克。

  了解此情況后網(wǎng)管負責人員通過使用桌面管理軟件,對飛鴿軟件進行限制。經(jīng)過多次開會測試,視頻會議都能夠正常召開,馬賽克現(xiàn)象沒有再次出現(xiàn)。

責任編輯:admin