前言
某企业的DMS经销商在线系统,最近一段时间运维人员经常接到反馈,DMS使用出现大量访问慢的情况,针对此情况进行监测分析。
该企业已部署NetInside流量分析系统,使用流量分析系统提供实时和历史原始流量,重点针对DMS系统性能进行分析,以供安全取证、性能分析、网络质量监测以及深层网络分析。
分析对象和目的
此次针对XXX.XXX.XXX.47/49/51,XXX.XXX.XXX.52/55/82 共6个IP地址流量进行监测,重点针对DMS性能和异常进行分析。
通过监测分析,发现DMS存在性能和异常问题,并进一步深入分析出现问题的根因。
分析时间
报告分析时间范围为:2022-11-03 00:00到2022-11-03 16:00。
分析思路和原理
性能监测分析
异常分析
分析结论
发现部分主机发出大量连接且均失败情况,进一步做异常分析。
详细内容
DMS异常分析
分析发现部分主机发出大量连接且均失败情况。如下图,左侧列出发生失败请求的主机和对应个数。
以XXX.XXX.XXX.43为例进行分析。
可以看到XXX.XXX.XXX.73访问了XXX.XXX.XXX.43,但均被拒绝访问。
由于异常比较多,再针对XXX.XXX.XXX.11进行分析,下面是这个主机在分析时间内失败数关系图。
进一步分析。
发现访问XXX.XXX.XXX.49的7004端口,均被拒绝。
XXX.XXX.XXX.11访问XXX.XXX.XXX.52的17800端口,均被拒绝。
XXX.XXX.XXX.11访问XXX.XXX.XXX.52的7001端口,均被拒绝。
分析建议
建议技术人员排查异常原因,弱确认存在问题则立即控制此问题,弱为正常流量,我们将持续监测其他流量,发现存在异常连接的问题,进一步分析加强安全防护。
