​​需求简介

某外高桥公司的OA系统是其重要的业务系统，OA系统负责人表示，部分用户反馈，访问OA系统时比较慢。需要通过分析系统看一下实际情况。

本次分析重点针对OA系统性能进行分析，以供安全取证、性能分析、网络质量监测以及深层网络分析。

报告内容

本报告内容主要为：整体流量、异常分析、其他信息。

分析时间

报告分析时间范围为：2021-05-06 00:00-2021-05-06 23:59，时长共计1天。

分析结论

名为“其它组”出现63.9万次失败访问。

详细分析内容

​​下面从三部分进行详细分析。

流量分析

总体流量分析。

异常分析

异常分析原理

正常的基于TCP的网络流量，都是先建立TCP连接，再传输数据，然后断开连接。而网络中经常存在中毒系统、配置错误等问题，导致网络中存在单向请求现象，这些信息也会在网络流量中体现。

NetInside自动发现大量连接请求，但对方没有响应的行为，统计为失败数。

名为“其它组”出现63.9万次失败访问。

10.8.68.191失败分析，通过分析，该异常是由于10.8.68.191每隔几秒访问一次192.168.2.16的15674端口，对方没有响应造成。

 同样对10.8.78.32分析。

10.8.78.32失败分析，通过分析，该异常是由于10.8.78.32每隔几秒访问一次192.168.2.16的15674端口，对方没有响应造成。

通过上述对2个主机异常分析，结果相同，可能是由于系统中安装某终端或应用配置错误导致。

同理，NetInside系统会发现类似的网络异常行为。

其它信息

目前，还有很多未归类的URL信息，不知道业务名称，需要信息部门相关人员配合（提供未知URL的业务名称）。

例如，5月6日全天，有168.3万个访问归类到其它web访问中。

这些为归类URL信息如下：

工作组未定义，系统分析到网络中存在大量的网段，需要定义工作组，需要信息部门相关人员配合（提供各个部门网段信息） 。

为什么要定义工作组？

定义了工作组，就可以对每个工作组单独分析，快速定位故障。

假如，定义了一个名为“10-8-86网段”的工作组，工作组成员是10.8.86.0/24,就可以实现如下分析。

查看工作组”10-8-86网段”的信息。

看工作组”10-8-86网段” 及成员的异常信息。

 建议

1. 大量访问失败情况，需要和现场技开发人员沟通分析，确保不会影响系统正常运行。

2. 很多未归类的URL信息，不知道业务名称，需要信息部门相关人员配合（提供未知URL的业务名称）。