利用科来构建主动运维监控体系.ppt

“利用科来构建主动运维监控体系”,王超 6月9日 合肥,科来在网络业务系统运维中的应用,目录,基于网络的业务系统架构 科来网络分析系统简介 科来在网络业务系统中的应用 科来在业务系统运维中的案例 科来的部署 科来优势 产品版本及价格 科来公司介绍,网络业务系统架构,业 务 终 端,业 务 服 务 器 端,中间设备,中间设备,网络业务系统的构成： 业务端系统业务系统运行的终端 包括业务终端、业务服务器等， 终端平台相对单一、简单（windows系统、sql数据库等) 中间网络业务系统运行的基础平台 包括中间设备、链路等 网络平台的复杂性、多样性(路由、交换、防火墙、流控、内容过滤、安全检测等等）,导致故障各种原因的比例,导致网络事故原因报告,数据来源：Infonetics Research, 2005,结论： 90%的故障跟中间网络有关而跟终端有关的仅占7%! 在网络业务系统监测运维过程中，站在网络运行的角度才是我们监测分析的出发点与着重点。,目录,基于网络的业务系统架构 科来网络分析系统简介 科来在网络业务系统中的应用 科来在业务系统运维中的案例 科来的部署 科来的优势 产品版本及价格 科来公司介绍,科来网络分析系统是通过捕获网络交互过程中的数据包，并对捕获到的数据包进行深入的分析，从而洞穿网络运行的各个层面（包括性能、安全、业务以及故障等）的本质的一种网络监测、分析和运维产品,安全,性能,业务,故障,科来网络分析系统功能总结,故障的分析定位 网络安全性的分析 网络性能的监控分析 业务应用的监控分析,目录,基于网络的业务系统架构 科来网络分析系统简介 科来在网络业务系统中的应用 科来在业务系统运维中的案例 科来的部署 科来优势 产品版本及价格 科来公司介绍,科来在业务系统中的应用,上线前分析,对现有网络平台的性能、稳定性、安全性进行分析测试 单笔业务交易对带宽的消耗，以及后期全面上线对带宽的需求 业务系统的数据交互的合理性 确认业务系统应用类型 业务系统网络交互性能是否优化 业务系统运行的性能稳定性,网络通讯行为特征 业务系统网络数据交互的可视性 业务运行基线 .,提前预警 发现安全威胁和隐患 业务系统故障分析解决 业务系统响应时间 业务系统运行情况监测分析 业务系统网络平台监测分析 后期的改造优化依据分析 .,上线时评估,上线后运维,业务系统上线前分析,上线前分析,分析内容： 对现有网络平台的性能、稳定性、安全性进行分析测试 单笔业务交易对带宽的消耗，以及后期带宽需求的趋势 业务系统的数据交互的合理性 分析业务系统应用类型 业务系统网络交互性能是否优化 ,上线时评估,上线后运维,实现的效果： 上线前，全面分析了解业务系统运行的网络平台的性能、稳定性、安全性 了解业务系统对网络带宽的需求，为网络平台架构或优化提供依据 业务系统本身的网络数据交互是否合理，在上线前及时优化业务系统的网络行为 了解业务系统的数据交互特点 在业务上线前及时优化业务交互性能，改进业务系统的运行的稳定性,上线前行为特征分析-客户端异常,上线前，分析业务系统交互过程，发现业务客户端有时不响应服务器端的TCP数据包，及时改进业务系统客户端代码，从而保证在正式上线时业务系统的稳定运行,上线前行为特征异常-窗口变化,上线前， 通过分析发现业务系统在交互过程，发现服务器的通讯窗口更新较慢，影响业务系统交互的性能。,上线前业务系统交互行为分析-明文传输,在上线前，通过科来网络分析系统分析发现业务客户端与服务器端交互用户名和密码时，使用的是明文传输的，在上线前改进业务系统，增强业务系统的安全性,上线前业务交易带宽测量,单用户业务交易产生的业务数据流量大小,单用户交易业务各个具体操作产生的流量大小统计,业务系统上线中评估,上线前分析,上线中评估,上线后运维,分析内容： 网络通讯行为特征 业务系统网络数据交互的可视性 业务运行基线,实现的效果： 掌握业务运行的行为特征，增强业务系统的可视性 建立业务系统正常运转的基线数据，为后期的维护提供有用的数据依据 各种业务运行报告,业务行为特征分析,业务系统在执行某一具体操作，客户端与服务器端的数据交互行为，客户端、服务器端交互的数据大小、窗口大小等。 这个行为可以作为该操作的行为特征,业务行为特征分析-保活,业务应用的保活行为：每34秒交互保活数据包,业务系统行为特征分析,该业务系统，先向服务器的1521端口执行查询操作，再通过服务器的21端口上传图片数据。,业务系统行为特征分析,客户端通过tcp 6888端口交互业务应用数据，但是TCP6888端口是某P2P应用的默认端口，因此该业务系统在经过一些安全防护、应用控制的设备时，很可能会被丢弃或限速,业务分布以及流量占用情况,根据具体的业务特性和网络情况，我们可以分析业务应用的具体分布情况,业务系统运行基线,业务服务器的平均每秒位数、平均每秒数据包数、平均数据包大小、进出流量的分布等这些都是业务系统运行的基线参数，可以衡量业务系统运行的情况。,业务运行基线,业务系统运行时，某些具体操作产生的流量大小、交互的数据包个数、交互数据时的速率、持续时间等参数基本上都在一定的范围内,业务系统上线后运维,上线前分析,上线时评估,上线后运维,实现效果： 事前预警，提前发现业务系统异常，提前规避业务系统故障 发现各种攻击和安全威胁，提高业务系统的安全性 监控业务系统的性能 全面了解业务系统的运行状况，实现主动监测 快速定位业务系统故障，减少业务系统故障时间，提高业务系统运行的稳定性,分析内容： 业务系统各种运行参数 业务系统安全威胁和隐患 业务系统故障 业务系统响应时间 业务系统运行情况 业务系统网络平台运行情况 后期的改造优化依据 .,提前预警警报,根据业务系统运行的特征，我们可以设置相应的预警条件，可供设置的预警参数非常多，基本上可以涵盖业务系统运作时的各种情况,根据行为特征预警（服务器的流量大小）,根据业务服务器或者客户端的数据交互流量情况设置预警条件，当满足条件时，产生告警信息，我们根据告警信息，可以提前发现流量的异常情况,根据行为特征预警（数据包大小分布）,根据业务交互数据包大小分布情况设置预警条件，当满足条件时，产生告警信息，我们根据告警信息，可以提前发现流量的异常情况 在这里，我们设置每秒64-127字节的小包数量以及持续时间作为告警条件,根据行为特征预警（reset数据包数）,根据业务系统TCP层面异常终止数设置告警条件，可以在业务应用异常终止前提前告警,响应时间预警,业务应用响应时间预警，在业务系统变慢之前告警,响应时间监控分析,业务应用出现性能问题时，我们可以通过科来网络分析系统来测量业务应用系统响应时间、业务服务器响应时间、网络传输时间、中间设备转发延时等 在这里，我们可以发现业务服务器的延时是很正常的，0.179秒，而真正的应用数据响应时间则有1分钟的延时,业务系统安全性分析-针对业务系统的攻击,科来专门的安全分析方案，基于网络行为特征来分析定位各种可疑的安全攻击行为，并且直接分析出可疑攻击行为的主机和具体数据交互的会话。,安全性分析-MAC FLOOD攻击,1.MAC地址多,2.源MAC地址 明显填充特征,3.额外数据明 显填充特征,通过节点浏览器快速定位,业务系统安全性分析-依据特征字段抓木马,业务系统安全性分析-依据特征字段定位攻击,在科来的数据包解码视图中可以找到红色代码II攻击的特征字段：CodeRedII、CMD.Exe、Root.exe等，通过这些特征字段，我们可以快速定位这是针对业务服务器的攻击行为； 其攻击类型为红色代码攻击，实施攻击的源主机为8,业务安全性分析-完全属于正常访问的DOS攻击,所有请求的页面均为同一有效页面 短时间内，发送大量有效请求，导致服务器性能急剧下降 由于是正常的页面请求，各种安全防护体系全部失效 通过科来，定位攻击类型和攻击源，使用临时过滤策略对业务服务进行防护 我们也可以通过预警功能提前发现异常,通过基线发现业务系统故障,流量、交互的数据包个数跟业务运行基线相差较大，表明业务系统运行出现异常，我们需要进一步的分析关注是什么原因导致的,通过行为基线发现业务系统丢包故障,正常情况下，服务器向客户端传输数据， 而客户端仅对服务器端发送确认即可，这种确认不 包含任何的数据，其大小在填充完后只有64B,而在故障发生时，我们竟然发现了客户端向服务器 发送的大小为70B的ack,TCP选项字段导致的70B的ack,通过数据包分析FTP应用登录异常,TCP三次握手建立连接,S响应：winsock ready,C输入用户名,C用户名第一次重传,C用户名第二次重传,C对”S第一次重传“的确认,C对”S第二次重传“的确认,S的第一次重传,S的第二次重传,S：用户名ok，需密码,S“需密码”第一次重传,C输入密码,C密码第一次重传,C密码第二次重传,S“需密码”第二次重传,C密码第三次重传,S：登陆成功,29.9S的延时,23.9S的延时,11.9S的延时,5.8S的延时,2.8S的延时,业务故障分析-专家诊断系统（知识库）,在科来网络分析系统中有一个专家诊断功能模块，这个功能模块主要针对网络中常见的网络故障进行,异常前 可视预警 提前规避,异常后 快速定位 及时解决,业务稳定 安全高效,异常时 实时分析 实时发现,科来网络分析系统在业务系统运维中的作用,达到的目的： 增强业务系统运行的可视性 增强业务系统运行的安全性,保障业务系统运行的稳定性 提高了业务系统运维的效率,通过科来构建主动式运维监控体系,主动运维监控体系的构成要素 持续的网络可视化 应用特征基线 重在预防的故障处理 多维度趋势分析 知识库,科来实现的功能,全面的网络业务运行参数 制定各种性能、业务运行基线 事前预警，提前规避 网络业务的运行趋势分析 专家诊断系统,通过科来网络分析系统，可以构建起主动的运维监控体系，保障网络以及业务系统高效、安全、稳定地运行,目录,基于网络的业务系统架构 科来网络分析系统简介 科来在网络业务系统中的应用 科来在业务系统运维中的案例 科来的部署 科来优势 产品版本及价格 科来公司介绍,科来在业务系统运维中的案例,XX部分网段无法访问内部网站故障分析报告 XX房产局房产办证业务故障分析解决报告 XX公安厅访问业务服务器中断故障报告 XX国税局网络故障分析报告 XX国税局网络运行情况分析报告 XX海关伪造ARP攻击故障报告 XX集团运销管理业务系统评估分析报告 XX经委访问oa服务器慢故障分析报告 XX局视频会议故障分析和服务器运行情况分析报告 XX人民政府网络安全性分析报告 XX司法厅访问部分应用服务慢故障分析报告 XX学院填充攻击故障分析报告 XX药业业务访问慢故障分析报告 XX学院专网WEB应用慢故障分析报告 ,目录,基于网络的业务系统架构 科来网络分析系统简介 科来在网络业务系统中的应用 科来在业务系统运维中的案例 科来的部署 科来优势 产品版本及价格 科来公司介绍,科来网络分析系统的部署,流量采集的方式： 部署的方式：,长期监测：在监控服务器上安装科来，对网络内交互的数据进行长期监测 移动部署：特殊情况下，可以将科来安装在笔记本上，做移动分析,通过交换机的端口镜像功能，捕获网络内交互的数据 通过专业的TAP分路器采集网络内的数据,科来网络分析系统,目录,基于网络的业务系统架构 科来网络分析系统简介 科来在网络业务系统中的应用 科来在业务系统运维中的案例 科来的部署 科来优势 产品版本及价格 科来公司介绍,科来网络分析系统的优势,被动监听、旁路接入 不需要在业务终端上安装任何的插件或客户端软件等，不产生任何的非业务流量，不占用业务系统的任何资源，对业务系统无任何影响。 提供网络和业务运行的可视性，掌握网络运行的全景信息 全面监测，将网络和业务系统的各种运行参数清晰的呈现，结合业务系统特性，制定相应的运行基线，提高了网络和业务系统运行的可视性 提高网络和业务的安全性 根据网络行为特征发现各种安全问题，跟现有网络安全防护体系形成配合，提高了网络和业务系统的安全性 实时监控，提前预警，构建主动运维监控体系 实时监控，及时预警，提前发现、规避网络和业务系统异常，从而达到主动运维的效果 提高网络和业务应用运行的稳定性 强大的专家诊断功能，以及深入网络运行本质的全面分析，高效、快速的定位各种网络和业务系统故障。 全中文界面，操作方便，易用性高 中国自主知识产权，国人自主研发 服务本地化,目录,基于网络的业务系统架构 科来网络分析系统简介 科来在网络业务系统中的应用 科来在业务系统运维中的案例 科来的部署 科来优势 产品版本及价格 科来公司介绍,科来概述,骄人业绩,130000 用户使用科来网络分析系统 5000 多政府、企业客户使用科来网络分析技术解决网络问题 60 家全球500强客户选择与科来合作 80 多个国家和地区的客户正在使用科来的技术和服务,技术领先,全球领先的网络分析技术倡导者和推动者 全中文产品，自主知识产权 创新的“网络虚拟还原引擎”技术 400+ 种当前普遍应用网络协议支持 50+ 个国内常见网络事件的专家分析诊断 3+ 专利技术，5+ 国家级技术创新,科来海外成功客户,“Wherever and whenever a networking issue arises I am always able to have my Colasoft Capsa on-hand to diagnose, and resolve, complex issues.” Ike Eickholdt, Senior Information Specialist, EDS,科来成功客户,通讯 美国全球通信学会 美国移动通信和互联网协会(CTIA) 超空间通信 美国S&T通信 马克吐温通信公司 波兰Netia S.A.通信 电信 Baker & Taylor集团 新加坡电信电子 美国电子邮件管理公司 美国BCC综合网络 波兰 Netia S.A电信 国际蜂窝通讯行业协会 媒体 环球电台(Trans World Radio) 加拿大电视网有限公司 明尼苏达州公共电台 贝克及泰勒公司(Baker & Taylor ) 英国北岩报业 爱尔兰新闻社 读者文摘 银行 Los Alamos国家银行 美国富兰克林储蓄银行 美国圣精银行 美国Nodaway Valley银行 美国第一支付系统 英国互联网交易系统,制造/IT企业 西铁城 IBM集团 瑞典爱立信公司 尼桑汽车（南非）公司 西图集团CH2M 西门子 SolarWinds 法国洛克沙姆公司 美国铜-镍合金化学中心 中南屋顶系统 高达国际工程及矿业集团 加拿大Aecon集团 政府 美国田纳西河流域管理局 美国马里兰州公共事业部 美国Boulder公共图书馆 加拿大家庭扶助工程 加拿大蒙特利尔国际 美国Roswell市政府 科研 NSWC Crane研制中心 意大利电子中心科学研究实验室 美国农业研究实验室 食品 Del Monte食品公司 美国汤姆食品 美国True World食品 卡芙食品 百事集团,高校/教育 新加坡南洋理工大学 多克大学(Duke University) 美国田纳西州大学 美国宾州西切斯特大学 英国互联网交流培训中心 马来西亚大学 印第安青年大学 美国宾夕法尼亚州大学 南密西西比州大学 美国Orangewood基督学校 美国East Stroudsburg州大学 医疗 美国圣克莱尔医院 美国善终医学组织 美国圣文森特市医院 美国眼科护理协会 新西兰聋哑协会 美国Brook Lane健康中心 美国北场医院 联合国纪念医院 金融/保险 亚洲基金 美国GC社会保险 美国Superfund投资集团 美国农业信贷服务 美国Gaarrett社会保险 美国eonBusiness风险资本公司 美国高地资本,科来全球用户,科来中国成功客户,中国科技部 中国外交部 中国农业部 中国空间技术研究院 中国国家图书馆 信息产业部电信研究院 中科院高能物理研究院 海关总署 中国石化集团 中国石油集团 中国石油勘探开发研究院,浙江省农业银行 上海湘财证券 重庆市农村信用社联合社 国网信息通信有限公司 中国电信有限公司广州分公司 华北石油通信公司 安徽淮南矿业集团 安徽淮北矿业集