快速剖析峰值流量.PDFVIP

快速剖析峰值流量 应用场景：科来网络回溯分析系统部署在某金融公司业务应用服务器出口，2013-04-10 下 午用户业务应用出口链路产生了几分钟的峰值流量，由于该业务应用比较重要，领导比较着 急想了解该峰值流量是由什么人，做了什么操作产生的流量？最后通过科来的网络回溯分析 系统快速的分析了峰值流量的构成。 分以下几步： 1，定位峰值时间点； 2、IP 流量排名找出最大的IP 流量； 3、挖掘最大IP 流量的IP 会话，TCP 会话； 4 、下载该IP 会话数据包，查看其数据流，分析其具体的操作行为。 快速定位峰值流量时间点，如上图：显示在2013-04-10 16:55:30-16:58:45 时间段产生的 峰值流量构成，主要是由于IP：7 与IP:2 互相通讯产生的，流量在37.68M 。 接下来查看具体的通信内容，下载数据包，分析TCP 会话数据流，如上图，下面为部分通讯 内容解码： 端点 1: IP 地址 = 7, TCP 端口 = 2228 端点 2: IP 地址 = 2, TCP 端口 = 80 IP：7客户端向IP:2发起的第一个GET请求如下（请求了图片文件）： GET /tms/content/CPBA/PropertyInsurance/PropertyInsurance.htm HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, application/vnd.ms-excel, application/vnd.ms-powerpoint, */* Referer: /tms/htm/sco_player.htm?env=wizb cos_url=../content/CPBA/PropertyInsurance/PropertyInsurance.htmaicc _sid=105949%3A_%3A_%3A178149%3A_%3A_%3A178157%3A_%3A_%3A%3A_%3A_%3A20 130410165155%3A_%3A_%3A701099%3A_%3A_%3Aaicc_url=http%3A%2F%2Fcpba-t /tms/servlet/CMI? Accept-Language: zh-cn Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; QQDownload 691; SV1) Host: Connection: Keep-Alive Cookie: site=1; site_id=cw; quiz_interaction=; quiz_time_left=; quiz_duration=3600; usr_s1u105949_178167=; usr_s1u105949_178166=; usr_s1u105949_178168=; JSESSIONID=0000ec4Km5ft1adMvhOgk4fvNTz:-1; wb=%0Clogin_lan%3DISO-8859-1%0C%0Cusr_id%3D0C%0Ccourse_id%3 D178149%0C%0Curl_prev%3Dhttp%3A///tms/s ervlet/aeAction%3Fenv%3Dwizb%26cmd%3Dae_get_enrol_cos%26res_id%3D1781 49%26dpo_view%3DLRN_READ%26stylesheet%3Dlrn_tst_lst.xsl%26nav_num_of_ mod%3D3%26msg_type%3DRES%26location%3D%26tkh_id%3D701099%0C%0Ctitle_p rev%3DF1%u4FDD%u9669%u4EE3%u7406%u4EBA%u8D44%u683C%u8003%u8BD5%u57F9% u8BAD%uFF08%u4F5B%u5C71 %u7F51%u7EDC%u73ED%uFF09%0C%0Clrn_tst_rpt_reload_parent%3Dtrue%0C%0Ci sWizpack%3Dfalse%0C%0CisLearnerRole%3D1%0C%0