背景

汽车配件电子图册系统是某汽车集团的重要业务系统。业务部门反映，汽车配件电子图册调用图纸时，出现访问慢现象。

某汽车总部已部署NetInside流量分析系统，使用流量分析系统提供实时和历史原始流量。本次分析重点针对汽车配件电子图册系统性能进行分析，以供安全取证、性能分析、网络质量监测以及深层网络分析。

报告内容

本报告内容主要为：

业务系统报错分析、整体流量概述、异常分析。

分析时间

报告分析时间范围为：2022-04-04—2022-04-10，时长共计7天。

环境准备

分析结论

系统几秒钟定位至问题根本原因，通过输出报告方式，对汽车配件电子图册的500报错分析、总体流量、连接异常过程详细演示。

1. 500报错：分析存在8682次HTTP 500页面错误。

2. 总体网络流量平均每小时100Mbps，最大时超过441Mbps，显示了流量最大的前5个IP和前5个应用全天的变化趋势。

3. 发现网络中存在连接异常，172.17.254.243主机与172.24.17.94/95建立连接时，出现连接重传，有部分请求出现连接失败的现象。

详细分析内容

系统报错分析

汽车配件电子图册HTTP 500错误的分布趋势，4月9日这一天有大量报错，出现了5747次HTTP 500响应代码。

进一步查看报错信息，分析得到，在访问这些页面簇中，出现了大量HTTP 500报错。双击第一个语句族查看详细报错信息。

第一个页面错误分析

对页面簇其中1次的报错进行分析。

对报错结果进行详细分析，点击+号展开里面内容。

在访问这个对象时，出现了1次HTTP 500报错。

第二个页面错误分析

对第二个页面簇其中1次的报错进行分析，双击第二个页面族查看详细信息。

对第二个页面簇其中1次的报错进行分析。

对报错结果详细分析，在访问这个对象时，出现了1次HTTP 500报错。

流量分析

总流量分布趋势，最大时超过441Mbps。

流量最大的前5个IP地址，流量分布趋势。

流量最大的前5个应用分布趋势，其中TCP:1556流量达到439Mbps。

系统在4月9日自动发现，tcp:1556不常见的应用端口流量特别大。

异常分析

正常的基于TCP的网络流量，都是先建立TCP连接，再传输数据，然后断开连接。

而网络中经常存在中毒系统、配置错误等问题，导致网络中存在单向请求现象，这些信息也会在网络流量中体现。

NetInside自动发现大量连接请求，但对方没有响应的行为，统计为失败数。

“其它组”工作组异常分析，出现3577次失败访问，IP为172.17.254.243平均每小时发送6480个请求，其中有3600个请求失败。

下载原始数据报文，所有的异常行为都会留有网络痕迹，通过系统下载172.17.254.243的原始报文，把当时的流量拿出来做分析。

访问失败分析，通过下载数据包分析，该异常是会话建立连接时出现重传，需要释放掉该连接，重新建立导致。

建议

通过对汽车配件电子图册500报错的分析，发现原因是服务器端出现代码不完善导致，建议联系软件开发商，要求他们技术进行改进完善。