Sniffer应用之——告警分析

• 关 键 词：
• http
• 三层交换

    一，网络环境：将Sniffer部署在网络出口设备三层交换机上，通过将三层交换机内网口配置为被镜像端口，Sniffer接入端口配置为观察端口。

    二，本次流量采集，通过在Sniffer设置过滤器，将只采集HTTP协议流量。这样做主要基于以下原因：

   1，由于被镜像端口流量通常比较大，每秒流量可达几十甚至上百Mb，而由于Sniffer缓存空间大小以及安装Sniffer的PC本身性能关系，如果按默认设置捕捉所有流量，面对庞大的流量将会使我们的分析工作感觉无从下手，同时过大流量将有可能导致Sniffer无法正常工作，因此需要人为设置过滤器来尽可能捕获关键性能反映网络性能的敏感流量；

   2，在目前网络应用中，HTTP协议还是属于一个典型网络活动，包括网页浏览，普通下载等。同时HTTP协议由于采用TCP作为传输层协议，一个完整HTTP连接通常包括TCP三次握手，客户端与Web服务器之间数据交互，TCP连接关闭。而通过观察这些过程可以大致反映出当前网络运行状况。因此，在本次流量分析中，只捕获HTTP协议流量，并可以适当延长捕获时间来捕获尽可能完整的HTTP协议流量。

    三，告警分析

   如上图，首先查看Sniffer的专家系统，可以看到专家系统提示在传输层共产生了607个TCP连接数（object），同时也给出了283个告警（symptoms），包括：ACK Too Long，Window Size Exceeded，Retransmission。其中ACK Too Long是最常见的告警，主要是指数据接收端返回确认时间过长，超出Sniffer预先设置阀值。Window Size Exceeded一般是由于发送方发送的数据超出了接收方通告的窗口大小，这个和具体的上层协议以及接收方TCP性能有关。而重传告警一般是由于网络出现拥塞导致丢包，数据传送延时过大而产生。