概述

　　網(wǎng)絡異常流量突發(fā)是經(jīng)常困擾運維管理人員的問題之一。突發(fā)流量可能會造成網(wǎng)絡的擁塞，從而產(chǎn)生丟包、延時和抖動，導致網(wǎng)絡服務質(zhì)量下降；不僅如此，突發(fā)流量還可能存在安全風險，例如：DoS攻擊、蠕蟲、竊密等，會對網(wǎng)絡和業(yè)務系統(tǒng)造成更大的危害。常規(guī)的網(wǎng)絡管理和流量監(jiān)控手段通常僅能夠看到流量異常突發(fā)的現(xiàn)象，卻不能夠讓管理人員深入分析異常流量產(chǎn)生的原因，無法了解異常流量是哪些IP造成的、是否是惡意攻擊行為、異常流量的行為特點、傳輸內(nèi)容、對網(wǎng)絡和業(yè)務有多大影響等，導致難以采用正確的處理措施。

　　科來回溯分析系統(tǒng)能夠透視網(wǎng)絡流量、回溯歷史通信數(shù)據(jù)包，從而快速判斷異常流量突發(fā)的根本原因。以下就是一個通過科來回溯分析系統(tǒng)分析異常流量突發(fā)成因的案例。

　　分析案例

　　某單位用戶近期頻繁出現(xiàn)訪問互聯(lián)網(wǎng)非常緩慢的現(xiàn)象，很多網(wǎng)頁都打不開，同時外網(wǎng)的VPN連接也很不穩(wěn)定。用戶通過網(wǎng)管軟件監(jiān)控到出問題的時候互聯(lián)網(wǎng)出口流量非常高，利用率接近100%，但是無法定位是什么原因造成的。

　　為了對突發(fā)流量進行精細分析，用戶在核心交換機上部署了科來回溯分析系統(tǒng)7×24小時采集核心交換到出口路由器鏈路的流量進行分析。通過科來回溯分析系統(tǒng)的流量趨勢觀察某日早晨9:40開始鏈路流量就非常高，核心交換上行鏈路的流量遠超過了互聯(lián)網(wǎng)最大帶寬，這事用戶上網(wǎng)也出現(xiàn)了非常緩慢的現(xiàn)象。

　　通過對這段時間網(wǎng)絡應用和通訊會話的數(shù)據(jù)挖掘，我們發(fā)現(xiàn)出口鏈路被一臺內(nèi)網(wǎng)服務器10.42.2.1大量發(fā)送的UDP包所阻塞，這一臺主機發(fā)送流量的速率就達到了互聯(lián)網(wǎng)出口帶寬的7倍。

　　該主機使用UDP 19端口向很多互聯(lián)網(wǎng)IP大量發(fā)送UDP報文，很明顯不是正常的訪問行為。為了進一步分析，我們提取了該主機的數(shù)據(jù)包通過科來回溯分析系統(tǒng)進行解碼分析，還原其通訊內(nèi)容。從該服務器發(fā)送的數(shù)據(jù)包載荷內(nèi)容全都是大量無意義填充字符，發(fā)包使用的UDP 19端口是Character Generator協(xié)議的端口，該協(xié)議已經(jīng)被淘汰現(xiàn)在基本沒有應用了。

　　至此，我們判斷該服務器被黑客利用實施了DoS攻擊，通過偽造IP地址向服務器UDP 19端口發(fā)送少量UDP報文，服務器大量回應Character Generator協(xié)議報文導致互聯(lián)網(wǎng)出口鏈路擁塞。用戶根據(jù)分析結(jié)果立刻對該服務器采取斷網(wǎng)措施，并重新安裝了操作系統(tǒng)，此后未再出現(xiàn)類似的情況。

　　案例總結(jié)

　　由于異常流量突發(fā)的成因很多，對網(wǎng)絡和業(yè)務系統(tǒng)的危害程度也不盡相同，在運維管理工作中如果不能對異常流量進行快速、深入的分析，往往會無從下手。這個案例中，用戶互聯(lián)網(wǎng)流量異常突發(fā)的問題，通過科來回溯分析系統(tǒng)的數(shù)據(jù)挖掘和數(shù)據(jù)包回溯功能迅速準確找到了問題的根源。