如何使用虹科 Allegro 網絡萬用表的 TCP 分析確定握手時間

握手需要多少時間？

在圖 1 中，您可以在虹科Allegro 網絡萬用表的 TCP 統計數據中看到過去 10 分鐘的客戶端握手次數。在這里，您可以清楚地看到在指定時間段內有延長的響應時間。但為什么會延長呢？是不是互聯網上的服務器太遠？或者可能是無線局域網太弱？但是這些很快就不再是問題了，因為有了虹科Allegro網絡萬用表，您可以輕松快速地找出響應時間過長的位置以及原因。

圖 1：TCP 統計信息一覽

握手時間較長的原因

在圖 2 的表中，所有數據都以表格形式顯示。在這里，您可以根據各種參數選擇是按升序還是降序排序，從而可以快速查看哪個服務器或客戶端的平均握手時間最長。

虹科Allegro 網絡萬用表可以永久記錄和分析握手時間。這樣做的好處是什么呢？您可以一目了然地看到虛擬機是否存在延遲問題，甚至可能存在的質量問題。虛擬機通常會有這種情況，因為它們都是按照“Best Effort”來運行的。

Best Effort意味著它所分布的計算能力與當前可用的計算能力一樣多。

對于一個服務和另一個服務（如備份），這種情況可能很好，因為這里的時間片大小并不重要。另一方面，對于ERP系統等服務，情況看起來卻有所不同。因為ERP系統會發送許多小請求，它需要的是立即計算能力。

這個對于快速瀏覽握手時間也很好。我們曾經遇到過這樣的情況，即握手時間在某些時候會經常上升，我們可以很快地判斷出是虛擬機出了問題。我們意識到了這是由于主機沒有為虛擬機分配足夠的處理時間，因此出現重大停頓而造成的原因，其中，機器幾乎靜止不動，沒有回答任何請求。

圖 2：重要參數排序表

如果握手時間遠遠超過40毫秒怎么辦？

這是你應該注意的地方。在這種情況下，通常意味著數據包已到達服務器，但服務器要么負載非常高，要么連接速度太慢。在客戶端方向也是如此。如果客戶端確認其在接收的數據方面運行緩慢，則可能是客戶端或鏈路過載造成的。

TCP重新傳輸

虹科Allegro網絡萬用表使您能夠隨時查看 TCP 統計信息。這使您可以縮小問題所在。對于TCP 重新傳輸，這同樣是可能的。如圖 3 所示，您可以在菜單項 TCP 重傳下看到連接的所有數據包和重新傳輸的數據。這使您可以立即查看重復的數據百分比以及總共傳輸的數據量。

圖 3：TCP 重新傳輸

數據何時出現兩次

如果數據在同一個位置出現兩次，則表示遠程站未收到數據。在這種情況下，是設備和接收系統之間存在過載導致的虹科Allegro網絡萬用表中數據丟失。

實踐中的典型用例

有人抱怨網絡太慢。但是如果使用虹科Allegro 網絡萬用表，您可以直接在服務器上進行測量，以查看其當前響應時間。如果此處未顯示任何重新傳輸，您還可以查看數據在什么時間發送出去。則可以知道是否有網絡帶寬問題。除此之外，您還可以查看響應時間。如果這些值較低，則可以完全排除網絡是導致問題的原因。如果問題出在服務器中或直接在客戶端中，這需要很長時間來處理數據。

如何找到無效連接

在圖 4 中，您可以在"連接無效的 TCP 服務器"選項卡上的 TCP 統計信息下清楚地識別此類無效連接。通過這種方式，您始終可以立即知道哪個IP地址正在發送無效請求，并在必要時采取措施。

無效連接是指發送了 TCP 請求但不顯示任何數據。其中一個原因可能是來自外部的攻擊。但也可能是有人正在發送連接，但根本不想傳輸它們，并且還在客戶端 - 服務器通信中受到干擾。

在表中，您可能還會看到某些連接包含狀態"無效"。如果只傳輸了幾個字節并且已經在那里握手，但連接已經打開了20個小時并且從未徹底地關閉，則可能會出現這種情況。請保持警惕，因為這可能是一次攻擊。但請注意，這不是一個安全功能，而是一種早期預警系統。

圖 4：查找無效連接

TCP標志評估的功能

通過這種方式，您可以輕松快速地查看在什么時間使用了多少標志。

這可能表明網絡中存在問題，例如，如果突然重置速率增加很多。在這種情況下，您可以按發送或接收最多重置的IP對表進行排序，以找到罪魁禍首。

何時出現零窗口

由于應用程序提取數據的速度不夠快，所以當數據到達服務器時，始終會出現零窗口。這與操作系統核心中的緩沖區有關。每當數據到達操作系統的速度過快時，緩沖區就會變小。一旦緩沖區用完，TCP 就會發送消息"緩沖區為 0"，即零窗口。這樣做的好處是，可以排除網絡的問題。這是因為兩個設備之間的網絡足夠快，服務器跟不上的原因。

但同時會有兩個可能的原因：

窗口太小，可能會在其中發送數據。

或者應用程序速度太慢，無法接受數據

圖 5：TCP 零窗口

在圖 5 中所示的菜單項"TCP 零窗口"下，您可以隨時查看存在哪些零窗口，還可以跟蹤已發送和接收的窗口數。同時，您可以看到操作系統可以緩存的數據量有多大，即所謂的窗口大小。這是在 TCP 連接開始時通過 Windows 縮放因子協商的。Windows 比例因子確定最大大小，并且在連接運行時無法更改。

一般來說，出現這些標志，都是物理布線，交換機，路由器，防火墻沒有問題的表現。在這里，問題顯然出在終端設備及其性能上。因此，如您所見，TCP分析可幫助您快速排除可能的問題并更接近真正的問題。TCP的最大優點是它還可以與大量協議一起使用，特別是對于SSL等完全加密的流量，因為TCP在ssl中也有使用。

應用實例

使用虹科Allegro網絡萬用表，您可以輕松地按發送最多 TCP 零窗口的應用程序進行排序。在我們的例子中，有很多來自備份系統。我們可以通過更仔細地觀察看到每秒發送500個零窗口數據包的時間。同時，響應時間也非常慢。這是什么原因呢？

在"對等"項目下，我們看到從我們的磁盤站傳輸了66 GB的大容量。在這種情況下，每晚我們都會把中央 NAS 備份到舊 NAS。現在新 NAS 比舊 NAS 更快，也可以更快地發送數據。

使用過濾器排除流量

通常，在安裝時，您要么獲得大型鏡像端口，要么從數據包代理處獲得大量數據。為了分析這一點，我們內置了一個網絡過濾器。這樣，您可以輕松忽略某些不想記錄或分析的流量。

此類連接還可以定義為黑名單或白名單。也許您有與您的測量相關的某些IP或MAC濾波器?；蛘撸粗嗳唬Ｍ懦谌魏吻闆r下都不應分析的某些計算機。請注意，即使單個數據包已被排除，仍然可以在接口統計信息中看到它們，但這不是Allegro網絡萬用表的問題，這是因為數據包存在并已注冊。但在處理它們之前，它們被過濾掉并在內部丟棄。為了幫助您跟蹤這一點，我們已將"過濾流量"部分安裝到儀表板中。

如圖 6 所示，您將在此處找到以下區域的篩選器函數：IP 地址、子網、IP 對、MAC 地址、VLAN、端口、網絡接口篩選器。

篩選時的鏈接是基于 OR 的，這意味著每個篩選器都是單獨應用的。例如，如果同時應用 MAC 篩選器和 IP 篩選器，那么一旦地址遇到該流量，就會將其過濾掉。在相反的情況下，如果您添加了許多IP地址，則它們將被Or鏈接，并且一旦命中IP地址，就會應用過濾器。

圖 6：篩選特定流量

結論

虹科 Allegro網絡萬用表中的 TCP 分析和握手次數測量功能可以快速分析錯誤并檢測可能的攻擊。

虹科Allegro網絡萬用表介紹

虹科Allegro網絡萬用表 - 網絡故障排除的一體化解決方案

掌握您的網絡情況

提高你的IT架構生產力

實時探索你的網絡

虹科Allegro網絡萬用表功能概覽

Allegro 是用于網絡故障排除設備和網絡分析的診斷工具，只需點擊幾下就能檢測出網絡中的錯誤和問題。它們由網絡管理員部署以分析網絡流量，既可以實時分析當前流量和事件也可以進行回溯分析。它能提供高粒度和詳細的分析。因此,可以快速識別網絡故障、性能瓶頸和數據包丟失等問題。