圖?5 通過TCP交易時(shí)序圖可以看出�����,服務(wù)端在對客戶端的第一個(gè)請求進(jìn)行確認(rèn)后�����,經(jīng)過了7秒才發(fā)出了響應(yīng)數(shù)據(jù)包����。這段時(shí)間應(yīng)該就是導(dǎo)致客戶端訪問網(wǎng)銀系統(tǒng)緩慢的直接原因。
為了確定這個(gè)延遲產(chǎn)生的具體原因���,分析SSL加密設(shè)備進(jìn)出數(shù)據(jù)����,找出相同源IP的TCP會話數(shù)據(jù)進(jìn)行對比��,發(fā)現(xiàn)在SSL加密設(shè)備出口處同樣出現(xiàn)服務(wù)器端在很長時(shí)間后才發(fā)出響應(yīng)數(shù)據(jù)���。如圖:
圖?6外網(wǎng)出口出現(xiàn)的故障現(xiàn)象在SSL加密設(shè)備出口同樣存在���,證明這段延遲不是在SSL加密設(shè)備之前產(chǎn)生,F(xiàn)5到SSL加密設(shè)備之間的網(wǎng)絡(luò)正常�����。
進(jìn)一步分析SSL加密設(shè)備和網(wǎng)銀服務(wù)器交互數(shù)據(jù)�,由于這部分?jǐn)?shù)據(jù)是沒有進(jìn)行加密傳輸?shù)模虼藷o法準(zhǔn)確定位到之前分析的同一個(gè)TCP會話���。而通過對大量TCP會話的對比分析�����,發(fā)現(xiàn)SSL加密設(shè)備和網(wǎng)銀服務(wù)器之間的數(shù)據(jù)傳輸很快���,所有會話都是在1S之內(nèi)完成���,基本不存在響應(yīng)延時(shí)情況。如圖:
圖?7通過以上的分析���,基本可以判定由于SSL加密設(shè)備造成了網(wǎng)銀系統(tǒng)訪問緩慢的原因����。而SSL加密設(shè)備在進(jìn)行數(shù)據(jù)加密之前����,會進(jìn)行一個(gè)密鑰的協(xié)商,具體過程如下圖:
圖?8結(jié)合故障數(shù)據(jù)包分析�����,可以發(fā)現(xiàn)出現(xiàn)延時(shí)的數(shù)據(jù)包是由SSL加密設(shè)備向客戶端響應(yīng)的Server hello數(shù)據(jù)包,因此更加可以肯定SSL加密設(shè)備就是造成故障的根本原因��。
