冲流量显示与服务器通讯异常,科来：如何分析网络异常流量突发

概述

网络异常流量突发是经常困扰运维管理人员的问题之一。突发流量可能会造成网络的拥塞，从而产生丢包、延时和抖动，导致网络服务质量下降；不仅如此，突发流量还可能存在安全风险，例如：DoS攻击、蠕虫、窃密等，会对网络和业务系统造成更大的危害。常规的网络管理和流量监控手段通常仅能够看到流量异常突发的现象，却不能够让管理人员深入分析异常流量产生的原因，无法了解异常流量是哪些IP造成的、是否是恶意攻击行为、异常流量的行为特点、传输内容、对网络和业务有多大影响等，导致难以采用正确的处理措施。

科来回溯分析系统能够透视网络流量、回溯历史通信数据包，从而快速判断异常流量突发的根本原因。以下就是一个通过科来回溯分析系统分析异常流量突发成因的案例。

分析案例

某用户数据中心近期通过网管软件发现有一个重要的业务系统服务器区不定期的会出现流量突发，但用户无法看到是哪台服务器出现异常，也不知道是和谁在通讯。由于这个区域的服务器存储的都是重要的客户信息和计费数据，运维人员非常担心是服务器被渗透造成数据泄密。

为了对突发流量进行精细分析，用户在问题区域部署了科来回溯分析系统进行7×24小时数据采集。设备部署当天我们通过科来回溯分析系统的流量趋势图就观察到了一次持续约10分钟的流量突发，峰值流量达到了其他时段的6倍以上。

通过异常时段的IP会话统计表，我们发现有一个IP会话的流量明显高于其他通讯对，竟然是一台业务服务器(10.199.90.51)与数据中心其他区域的一台主机(10.199.72.168)间的异常通讯造成了流量突发(如图所示)。