【IT168 评论】某银行用户反映银行网银系统有时访问较慢，主要现象为打开登录界面需很长时间，银行客户希望能对网银系统做一个全面的分析，找出故障的原因。

　　网银系统的网络环境拓扑示意图如下：

▲图 1 网银系统网络拓扑图

　　客户端访问网银系统外网地址，然后经过F5负载均衡设备转发数据，直接访问SSL加密设备，再通过SSL设备转发给网银系统WEB服务器。

　　本案例选择在网络出口以及SSL加密设备出口进行部署科来网络回溯系统进行抓包分析。

　　案例分析

　　结合网银系统网络拓扑及数据的走向，网银系统访问较慢的原因有以下几点：

　　网银系统访问流量太大，出口链路拥塞;

　　网络响应延时较大;

　　网络设备转发故障;

　　网银服务器本身响应较慢。

　　1、整体流量分析

　　对1小时内网银系统外网出口流量进行统计，总流量为919MB，峰值流量为5Mbps，平均流量为2.2Mbps。

　　2、网络延时分析

　　在TCP的连接过程中，客户端和服务器端在网络中共传输三个数据包，俗称三次握手，这三个数据包都是小包，没有实际有效数据载荷。服务器端对客户端TCP SYN的请求在系统底层响应，响应非常快，该响应同数据包在网络中传输的延迟比可忽略，同时由于都是小包，网络传输延迟非常小，因此在数据包分析中可以通过三次握手数据包的时间间隔来确定网络的传输延迟。

　　随机选择系统外网出口多个完整的TCP会话，通过对TCP三次握手时间进行分析，发现服务端在收到客户端的三次握手时间基本在50ms左右，这在互联网环境中属于比较短的延时，说明网银系统内部网络和互联网链路延时都很正常，网络延时并不是造成系统访问缓慢的原因。

　　3、网银系统性能分析

　　对外网出口流量进行分析，重点分析持续时间较长的TCP会话，发现部分会话存在异常。如下图：

▲图 2 TCP交易时序图

　　通过TCP交易时序图可以看出，服务端在对客户端的第一个请求进行确认后，经过了7秒才发出了响应数据包。这段时间应该就是导致客户端访问网银系统缓慢的直接原因。

　　为了确定这个延迟产生的具体原因，分析SSL加密设备进出数据，找出相同源IP的TCP会话数据进行对比，发现在SSL加密设备出口处同样出现服务器端在很长时间后才发出响应数据。

　　外网出口出现的故障现象在SSL加密设备出口同样存在，证明这段延迟不是在SSL加密设备之前产生，F5到SSL加密设备之间的网络正常。

　　进一步分析SSL加密设备和网银服务器交互数据，由于这部分数据是没有进行加密传输的，因此无法准确定位到之前分析的同一个TCP会话。而通过对大量TCP会话的对比分析，发现SSL加密设备和网银服务器之间的数据传输很快，所有会话都是在1S之内完成，基本不存在响应延时情况。

　　根据SSL协议规范，服务端发送的一个数据报文应该是服务器数字证书等加密通讯的握手报文，SSL加密通道的建立过程应由SSL加密设备处理，因此我们基本可以判定由于SSL加密设备造成了网银系统访问缓慢的原因。

　　结合故障数据包分析，可以发现出现延时的数据包是由SSL加密设备向客户端响应的Server hello数据包，因此更加可以肯定SSL加密设备就是造成故障的根本原因。

　　分析结论

　　通过以上信息，我们可以做出如下判断：

　　链路流量值不大，流量趋势稳定，没有明显的递增或递减趋势，监控链路不存在持续性拥塞问题;

　　网银系统内部网络正常，网络延时很小;

　　网银系统访问缓慢，应该是由于SSL加密设备和客户端进行密钥交互时，SSL加密设备响应延迟导致。