背景

某汽车总部已部署NetInside流量分析系统，使用流量分析系统提供实时和历史原始流量。汽车配件电子图册系统是某汽车集团的重要业务系统。本次分析重点针对汽车配件电子图册系统进行预见性分析，以供安全取证、性能分析、网络质量监测以及深层网络分析

报告内容

本报告内容主要为：

整体流量分析、异常分析。

分析时间

报告分析时间范围为：2022-04-04—2022-04-10，时长共计7天。

环境准备

分析结论

系统几秒钟定位至问题根本原因，通过输出报告方式，总体流量、连接异常过程详细演示。

1. 总体网络流量平均每小时100Mbps，最大时超过441Mbps，显示了流量最大的前5个IP和前5个应用全天的变化趋势。

2. 发现网络中存在连接异常，172.17.254.243主机与172.24.17.94/95建立连接时，出现连接重传，有部分请求出现连接失败的现象。

详细分析内容

流量分析

总流量分布趋势，最大时超过441Mbps。

流量最大的前5个IP地址，流量分布趋势。

流量最大的前5个应用分布趋势，其中TCP:1556流量达到439Mbps。

系统在4月9日自动发现，tcp:1556不常见的应用端口流量特别大。

异常分析

正常的基于TCP的网络流量，都是先建立TCP连接，再传输数据，然后断开连接。

而网络中经常存在中毒系统、配置错误等问题，导致网络中存在单向请求现象，这些信息也会在网络流量中体现。

NetInside自动发现大量连接请求，但对方没有响应的行为，统计为失败数。

“其它组”工作组异常分析，出现3577次失败访问，IP为172.17.254.243平均每小时发送6480个请求，其中有3600个请求失败。

下载原始数据报文，所有的异常行为都会留有网络痕迹，通过系统下载172.17.254.243的原始报文，把当时的流量拿出来做分析。

访问失败分析，通过下载数据包分析，该异常是会话建立连接时出现重传，需要释放掉该连接，重新建立导致。

建议

通过对汽车配件电子图册“其它组”工作组异常分析，运维同事认为此问题会影响系统其他应用的性能，需要排查具体原因并禁止此行为的单向发送。