如何解決SSL訪問緩慢問題

2016-11-26 03:02:36

網(wǎng)絡安全和信息化 2016年11期

關鍵詞：網(wǎng)銀數(shù)據(jù)包客戶端

問題描述

故障背景

某銀行用戶反映銀行網(wǎng)銀系統(tǒng)有時訪問較慢，主要現(xiàn)象為打開登錄界面需很長時間，嚴重影響了用戶體驗和企業(yè)形象。

網(wǎng)絡拓撲

客戶端訪問網(wǎng)銀系統(tǒng)外網(wǎng)地址，然后經(jīng)過F5負載均衡設備轉發(fā)數(shù)據(jù)，直接訪問SSL加密設備，再通過SSL設備轉發(fā)給網(wǎng)銀系統(tǒng)WEB服務器。

本案例選擇在網(wǎng)絡出口以及SSL加密設備出口進行部署科來網(wǎng)絡回溯系統(tǒng)進行數(shù)據(jù)分析。

分析方案設計

分析思路

結合網(wǎng)銀系統(tǒng)網(wǎng)絡拓撲及數(shù)據(jù)的走向，網(wǎng)銀系統(tǒng)訪問較慢的原因有以下幾點：網(wǎng)銀系統(tǒng)訪問流量太大，出口鏈路擁塞；網(wǎng)絡響應延時較大；網(wǎng)絡設備轉發(fā)故障；網(wǎng)銀服務器本身響應較慢。

整體流量分析

對1小時內(nèi)網(wǎng)銀系統(tǒng)外網(wǎng)出口流量進行統(tǒng)計，總流量為919MB，峰值流量為5Mbps，平均流量為2.2Mbps。

網(wǎng)絡延時分析

在TCP的連接過程中，客戶端和服務器端在網(wǎng)絡中共傳輸三個數(shù)據(jù)包，俗稱三次握手，這三個數(shù)據(jù)包都是小包，沒有實際有效數(shù)據(jù)載荷。服務器端對客戶端TCP SYN的請求在系統(tǒng)底層響應，響應非?？欤擁憫瑪?shù)據(jù)包在網(wǎng)絡中傳輸?shù)难舆t比可忽略，同時由于都是小包，網(wǎng)絡傳輸延遲非常小，因此在數(shù)據(jù)包分析中可以通過三次握手數(shù)據(jù)包的時間間隔來確定網(wǎng)絡的傳輸延遲。當我們在客戶端和服務端的網(wǎng)絡中某一點捕獲到客戶端同服務端的TCP三次握手數(shù)據(jù)包時，三個數(shù)據(jù)包在流量分析設備捕獲到的時間分別為T1,T2,和T3，這種情況下T2-T1的值可以認為是數(shù)據(jù)包從捕獲點網(wǎng)絡傳送到服務器然后服務器在傳回捕獲點的RTT,而T3-T2的值為數(shù)據(jù)包從捕獲點傳送到客戶端然后從客戶端傳送回捕獲點的RTT，T3-T1的值可以認為是從客戶端到服務器的RTT。

隨機選擇系統(tǒng)外網(wǎng)出口多個完整的TCP會話，通過對TCP三次握手時間進行分析，發(fā)現(xiàn)服務端在收到客戶端的鏈接請求后，都在1ms以內(nèi)給予了響應。說明網(wǎng)銀系統(tǒng)內(nèi)部網(wǎng)絡正常，不存在延時。

網(wǎng)銀系統(tǒng)性能分析

對外網(wǎng)出口流量進行分析，重點分析持續(xù)時間較長的TCP會話，發(fā)現(xiàn)部分會話存在異常。服務端在對客戶端的第一個請求進行確認后，經(jīng)過了7秒才發(fā)出了響應數(shù)據(jù)包。這段時間應該就是導致客戶端訪問網(wǎng)銀系統(tǒng)緩慢的直接原因。

為了確定這個延遲產(chǎn)生的具體原因，分析SSL加密設備進出數(shù)據(jù)，找出相同源IP的TCP會話數(shù)據(jù)進行對比，發(fā)現(xiàn)在SSL加密設備出口處同樣出現(xiàn)服務器端在很長時間后才發(fā)出響應數(shù)據(jù)。

外網(wǎng)出口出現(xiàn)的故障現(xiàn)象在SSL加密設備出口同樣存在，證明這段延遲不是在SSL加密設備之前產(chǎn)生，F(xiàn)5到SSL加密設備之間的網(wǎng)絡正常。

進一步分析SSL加密設備和網(wǎng)銀服務器交互數(shù)據(jù)，由于這部分數(shù)據(jù)是沒有進行加密傳輸?shù)模虼藷o法準確定位到之前分析的同一個TCP會話。而通過對大量TCP會話的對比分析，發(fā)現(xiàn)SSL加密設備和網(wǎng)銀服務器之間的數(shù)據(jù)傳輸很快，所有會話都是在1S之內(nèi)完成，基本不存在響應延時情況。

通過分析，基本可判定SSL加密設備造成了網(wǎng)銀系統(tǒng)訪問緩慢的原因。而SSL加密設備在進行數(shù)據(jù)加密之前，會進行密鑰的協(xié)商。結合故障數(shù)據(jù)包分析，發(fā)現(xiàn)出現(xiàn)延時的數(shù)據(jù)包是由SSL加密設備向客戶端響應的Server hello數(shù)據(jù)包，因此更加可以肯定SSL加密設備就是造成故障的根本原因。

分析結論

通過以上信息，我們可以做出如下判斷：鏈路流量值不大，流量趨勢穩(wěn)定，沒有明顯的遞增或遞減趨勢，監(jiān)控鏈路不存在持續(xù)性擁塞問題；網(wǎng)銀系統(tǒng)內(nèi)部網(wǎng)絡正常，網(wǎng)絡延時很??；網(wǎng)銀系統(tǒng)訪問緩慢，應該是由于SSL加密設備和客戶端進行密鑰交互時，SSL加密設備響應延遲導致。

分析價值

通過網(wǎng)絡分析對流量的監(jiān)控，可以從網(wǎng)絡性能、服務器性能、應用性能多視角進行統(tǒng)一分析，快速定位到應用故障時的故障節(jié)點。

成都科來軟件有限公司

電話：400-6869-069 010-82601814

網(wǎng)址：www.colasoft.com.cn

論壇：www.csna.cn