某銀行用戶反映銀行網銀系統有時訪問較慢，主要現象為打開登錄界面需很長時間，銀行客戶希望能對網銀系統做一個全面的分析，找出故障的原因。

網銀系統的網絡環境拓撲示意圖如下：

 

圖 1 網銀系統網絡拓撲圖

 

客戶端訪問網銀系統外網地址，然后經過F5負載均衡設備轉發數據，直接訪問SSL加密設備，再通過SSL設備轉發給網銀系統WEB服務器。

 

本案例選擇在網絡出口以及SSL加密設備出口進行部署科來網絡回溯系統進行抓包分析。

 

 

結合網銀系統網絡拓撲及數據的走向，網銀系統訪問較慢的原因有以下幾點：

 

·網銀系統訪問流量太大，出口鏈路擁塞；

·網絡響應延時較大；

·網絡設備轉發故障；

·網銀服務器本身響應較慢。

 

1、整體流量分析

 

對1小時內網銀系統外網出口流量進行統計，總流量為919MB，峰值流量為5Mbps，平均流量為2.2Mbps。

 

2、網絡延時分析

 

在TCP的連接過程中，客戶端和服務器端在網絡中共傳輸三個數據包，俗稱三次握手，這三個數據包都是小包，沒有實際有效數據載荷。服務器端對客戶端TCP SYN的請求在系統底層響應，響應非常快，該響應同數據包在網絡中傳輸的延遲比可忽略，同時由于都是小包，網絡傳輸延遲非常小，因此在數據包分析中可以通過三次握手數據包的時間間隔來確定網絡的傳輸延遲。

 

隨機選擇系統外網出口多個完整的TCP會話，通過對TCP三次握手時間進行分析，發現服務端在收到客戶端的三次握手時間基本在50ms左右，這在互聯網環境中屬于比較短的延時，說明網銀系統內部網絡和互聯網鏈路延時都很正常，網絡延時并不是造成系統訪問緩慢的原因。

 

3、網銀系統性能分析

 

對外網出口流量進行分析，重點分析持續時間較長的TCP會話，發現部分會話存在異常。如下圖：

 

圖 2 TCP交易時序圖

 

通過TCP交易時序圖可以看出，服務端在對客戶端的***個請求進行確認后，經過了7秒才發出了響應數據包。這段時間應該就是導致客戶端訪問網銀系統緩慢的直接原因。

 

為了確定這個延遲產生的具體原因，分析SSL加密設備進出數據，找出相同源IP的TCP會話數據進行對比，發現在SSL加密設備出口處同樣出現服務器端在很長時間后才發出響應數據。

 

外網出口出現的故障現象在SSL加密設備出口同樣存在，證明這段延遲不是在SSL加密設備之前產生，F5到SSL加密設備之間的網絡正常。

 

進一步分析SSL加密設備和網銀服務器交互數據，由于這部分數據是沒有進行加密傳輸的，因此無法準確定位到之前分析的同一個TCP會話。而通過對大量TCP會話的對比分析，發現SSL加密設備和網銀服務器之間的數據傳輸很快，所有會話都是在1S之內完成，基本不存在響應延時情況。

 

根據SSL協議規范，服務端發送的一個數據報文應該是服務器數字證書等加密通訊的握手報文，SSL加密通道的建立過程應由SSL加密設備處理，因此我們基本可以判定由于SSL加密設備造成了網銀系統訪問緩慢的原因。

 

結合故障數據包分析，可以發現出現延時的數據包是由SSL加密設備向客戶端響應的Server hello數據包，因此更加可以肯定SSL加密設備就是造成故障的根本原因。 

 

 

通過以上信息，我們可以做出如下判斷：

 

·鏈路流量值不大，流量趨勢穩定，沒有明顯的遞增或遞減趨勢，監控鏈路不存在持續性擁塞問題；

·網銀系統內部網絡正常，網絡延時很小；

·網銀系統訪問緩慢，應該是由于SSL加密設備和客戶端進行密鑰交互時，SSL加密設備響應延遲導致。