[DeepFlow] 透视每一条流的上百个特征

SDN in China

2017年11月21日

关于产品

在上一篇文章中,我们介绍了DeepFlow最受用户欢迎的功能——精准计量。今天我们给大家介绍的是回溯分析功能。

网络行为异常 悬案无法破除

不同于传统网络,在虚拟化和云化的数据中心环境中,大量租户的资源分布在同一个资源集群或数据中心,甚至跨数据中心;虚拟资源间或虚拟网络间的流量交织往来,东西向流量陡增;租户、资源、网络时刻处于高度变化中。

当出现网络故障时「时延、卡顿、中断、安全事件」,面对东西向流量陡增、虚拟网络不可见、网络动态变更的情况,管理员很难在有效时间内定位出问题,进而难以快速解决问题,更没法界定责任。

当这样的问题反复出现,“悬案”累积,网络便会处于一种时刻高危的状态中。

公司众志成城 排除万难

某集团公司自建数据中心,旗下子公司的业务系统均部署在自有数据中心。

今年上线了云管平台,并逐渐把业务迁移到了平台中,子公司开始以虚拟化的方式部署业务,一方面获得了资源弹性,一方面也遇到了不少的故障或问题。

一日,某子公司的IT人员向集团数据中心反馈,某个业务系统的数据出现大量丢失,业务系统异常。经初步排查数据库及服务器系统日志,未出现磁盘物理故障,未发现访问异常

子公司也不清楚数据丢失的时间。集团数据中心判断,数据丢失很可能是人为访问造成,于是,从网络流量行为入手,进行排查。

场景解决过程

1. 确认业务系统数据库服务器的IP地址=***.***.***.132。

2. 打开DeepFlow流量搜索引擎框。设定目的IP为该IP,查看其TCP访问情况。搜索条件为:

“DIP=***.***.***.132”“PROTO=TCP”。

%e5%be%ae%e4%bf%a1%e5%9b%be%e7%89%87_20171121110249

3. 在时间选择器上,选择最近一个月。

11

4. 点击搜索,流量搜索引擎通过0.722秒,即时搜索出总共149345条Flow。

11

5. 经查看Flow多维图,可以一眼看到每一个指标维度的统计信息,比如有多少个源IP在该时段访问了“***.***.***.132”。

6. 鼠标悬停在连接时间上,从连接时间维度查看,连接时间超过30分钟的Flow有4条,占总Flow数量的0.03%。

11

7. 点击这4条Flow的连线,钻取到每一条Flow的详情页。其中,发现有两个IP「***.***.***.8;***.***.***130」对目的IP有请求关系。其中,***.***.***.130的发送和接收包数巨大,其对话行为可疑

11

8. 进一步,钻取到这条Flow数据的2~4层网络的详情:链路层数据、网络层数据、传输层数据,以及分析数据。

11

再结合对IP归属地、开始和结束时间、持续时间等属性,定位到故障可疑点「***.***.***.130」,以及故障时间点「2017-10-26 23:59:37」,同时也作为故障证据。

11

适用场景

  • 数据中心安全运营部门网络安全分析
  • 数据中心网络运营部门故障诊断排查
  • 云数据中心网络运维平台
  • 软件定义的网络流量数据平台

立即申请使用

%e4%ba%a7%e5%93%81%e4%bd%93%e9%aa%8c%e7%94%b3%e8%af%b7%e4%ba%8c%e7%bb%b4%e7%a0%81

您还可以通过以下方式了解更多云杉网络的信息

%e9%bb%98%e8%ae%a4%e6%a0%87%e9%a2%98_%e5%85%ac%e4%bc%97%e5%8f%b7%e5%ba%95%e9%83%a8%e4%ba%8c%e7%bb%b4%e7%a0%81_2017-08-16-1

关注云杉网络公众号 yunshannetworks,回复“精选”查看;

%e5%85%ac%e4%bc%97%e5%8f%b7%e5%9b%be

云杉网络官方网站:yunshan.net

Related Posts

关于 NSP 混合云网络互联与服务平台的常见问题

SDN in China

2020年3月11日

关于产品

NSP(Network Services Platform)混合云网络互联与服务平台,是云杉网络为企业和运营商私有云建设中存在多数据中心、异构资源池、多厂商交换矩阵的网络环境,提供统一的逻辑网络编排和网络服务管理平台。

Read More

北京云杉世纪网络科技有限公司

SDN in China

2019年3月27日

关于产品

北京云杉世纪网络科技有限公司(简称:云杉网络)致力于开放网络架构,打造智能的云数据中心网络。拳头产品DeepF […]

Read More