流量回溯
流量回溯分析页面主要对历史流量从不同维度进行分析,包括数据包类型分布、数据包大小分布、数据包协议类型、数据包物理地址和IP地址、数据包上层应用类型等多个维度。
选项栏
选项栏各项功能介绍如表-7所示。
|
字段 |
说明 |
|
区域 |
在下拉框中选择已在流量分析数据源页面中添加的采集器 |
|
刷新 |
单击<刷新>按钮,可以更新趋势图 |
|
链路 |
在下拉框中选择在采集器中配置的链路,可按链路进行回溯分析 |
|
虚链路 |
在下拉框中选择在采集器中配置的虚链路,可按虚链路进行回溯分析 |
|
数据类型 |
统计的数据类型分为流量和数据包,切换后趋势图的统计单位会变更 |
|
颗粒度 |
颗粒度为1秒,页面统计周期为5分钟;颗粒度为10秒钟,页面统计周期为50分钟,以此类推 |
|
数据时间 |
当前趋势图统计的截止时间,与系统时间一致;也可以手动修改,趋势图会根据修改时间自动刷新,展示截止时间前5分钟内的数据 |
流量趋势图
流量趋势图默认展示筛选条件下的流量走势,图中横轴为时间,纵轴为数据包或流量。默认展示数据时间前5分钟以内的流量变化趋势。
分析页
分析页分为:概要分析、物理地址、物理会话、网络应用、IP地址、IP会话、TCP会话、UDP会话、端口。
下载:单击<下载>按钮,可将该时间段内的报文下载到本地进行分析,当前系统只支持10万包的下载分析,下载的报文为.pcap格式,可通过wireshark打开。
导出:单击<导出>按钮,可以将当前页签所有统计分析的数据导出到Excel表格中并保存至本地。
在线分析:选择表格中的任意一行数据后单击<在线分析>按钮,可根据选取的时间范围,在线分析报文信息。
图表:单击<图表>按钮,根据当前页签展示的信息,以图表的形式展示总字节数排名TOP10的内容,在弹窗顶部可更改数据来源、图表类型和统计字段。
搜索:单击<搜索>按钮,在弹窗内填写相关信息可对页签内容进行精确搜索。
重置:单击<重置>按钮,重置该页签到初始状态。
排序:单击表头带有
图标的字段,可按该字段进行排序。
1. 概要分析
鼠标在趋势图中选择一段时间范围,概要分析页签将显示该范围内的流量大小、数据包数、数据包类型等信息。具体字段说明请参见表-8。
汇总数据包统计:包括数据包数、字节数等。
|
字段 |
说明 |
|
|
数据包类型 |
广播包 |
主机之间“一对所有”的通讯模式,网络对其中每一台主机发出的信号都进行无条件复制并转发,所有主机都可以接收到所有信息(不管是否需要) |
|
组播包 |
源主机可以只需要发送一个报文就可以到达每个需要接受的主机上 |
|
|
ARP包 |
根据IP地址获取物理地址的一个TCP/IP协议报文 |
|
|
ICMP包 |
用于在IP主机、路由器之间传递控制消息的报文 |
|
|
TCP数据包类型 |
TCP同步包 |
三次握手报文中的syn包 |
|
TCP同步确认包 |
三次握手报文中的syn_ack包 |
|
|
TCP重置包 |
指reset包,当出现FIN包或RST包时,我们便认为客户端与服务器端断开了连接 |
|
|
TCP重传包 |
TCP每一次发送一个片段,就开启一个重传计时器。计时器有一个初始值并随时间递减,如果在片段接收到确认之前计时器超时,就重传片段 |
|
|
IP流量类型 |
单播流量 |
IP层的单播流量 |
|
广播流量 |
IP层的广播流量 |
|
|
组播流量 |
IP层的组播流量 |
|
|
非IP流量类型 |
单播流量 |
非IP层的单播流量 |
|
广播流量 |
非IP层的广播流量 |
|
|
组播流量 |
非IP层的组播流量 |
|
2. 物理地址
鼠标在趋势图中选择一段时间范围,物理地址页签将基于MAC地址显示该范围内所有与MAC地址有关的上下行数据包、字节统计等信息,具体字段说明请参见表-9。
双击列表中任意一行数据,可进入一级表格,查看基于此MAC地址的会话信息。在表格的右上角可切换统计指标或关闭表格。
|
字段 |
说明 |
|
MAC地址 |
或称为物理地址、硬件地址,用来定义网络设备的位置 |
|
总字节 |
上行总字节与下行总字节之和 |
|
上行总字节 |
上行方向总的报文字节大小 |
|
下行总字节 |
下行方向总的报文字节大小 |
|
总数据包 |
上行总数据包与下行总数据包数量之和 |
|
上行总数据包 |
上行方向的数据包个数 |
|
下行总数据包 |
下行方向的数据包个数 |
|
总流速 |
上行总流速与下行总流速之和 |
|
上行总流速 |
上行方向总的流速 |
|
下行总流速 |
下行方向总的流速 |
|
总包速 |
上行总包速与下行总包速之和 |
|
上行总包速 |
上行方向总的包速率 |
|
下行总包速 |
下行方向总的包速率 |
|
广播包 |
基于该MAC地址会话中,广播包的数量 |
|
组播包 |
基于该MAC地址会话中,组播包的数量 |
3. 物理会话
鼠标在趋势图中选择一段时间范围,物理会话页签将基于物理地址纬度,统计所有与该物理地址有关的会话信息,具体字段说明请参见表-10。
|
字段 |
说明 |
|
源MAC地址 |
物理会话的源MAC地址 |
|
目的MAC地址 |
物理会话的目的MAC地址 |
|
总字节 |
上行总字节与下行总字节之和 |
|
上行总字节 |
上行方向总的报文字节大小 |
|
下行总字节 |
下行方向总的报文字节大小 |
|
总数据包 |
上行总数据包与下行总数据包数量之和 |
|
上行总数据包 |
上行方向的数据包个数 |
|
下行总数据包 |
下行方向的数据包个数 |
|
总流速 |
上行总流速与下行总流速之和 |
|
上行总流速 |
上行方向总的流速 |
|
下行总流速 |
下行方向总的流速 |
|
总包速 |
上行总包速与下行总包速之和 |
|
上行总包速 |
上行方向总的包速率 |
|
下行总包速 |
下行方向总的包速率 |
4. 网络应用
在趋势图中选择一段时间范围,网络应用页签将基于应用展示统计的数据包数、流量、流速等信息。被识别的应用包括自定义和预定义应用,具体字段说明请参见表-11。
双击表格中任意一行数据,可进入一级表格,单击一级表格中的任意一行数据可进入二级表格,最多可进入三级表格,每级表格均可基于应用查看会话等信息。在表格右上角的下拉框中可切换分析维度。
|
字段 |
说明 |
|
应用名称 |
应用类型名称,包含自定义应用和预定义应用 |
|
总字节数 |
该应用类型的上行总字节与下行总字节之和 |
|
上行总字节 |
上行方向该应用类型总的报文字节大小 |
|
下行总字节 |
下行方向该应用类型总的报文字节大小 |
|
总数据包数 |
该应用类型的上行总数据包与下行总数据包数量之和 |
|
上行总数据包 |
上行方向该应用类型的数据包个数 |
|
下行总数据包 |
下行方向该应用类型的数据包个数 |
|
总流速 |
该应用类型的上行总流速与下行总流速之和 |
|
上行总流速 |
上行方向该应用类型总的流速 |
|
下行总流速 |
下行方向该应用类型总的流速 |
|
总包速 |
该应用类型的上行总包速与下行总包速之和 |
|
上行总包速 |
上行方向该应用类型总的包速率 |
|
下行总包速 |
下行方向该应用类型总的包速率 |
|
会话数 |
该应用类型的会话总数 |
|
连接失败率 |
三次握手中,第一个请求报文发出后,无第二个回应包则认为连接失败;连接失败率统计方法为:(发出的syn包数减去回应的syn_ack包数)除以发出的syn包数 |
|
TCP同步包数 |
三次握手报文中syn包数 |
|
TCP同步确认包数 |
三次握手报文中syn_ack包数 |
|
下行TCP重置包数 |
下行方向reset包数 |
|
客户端平均RTT |
该应用类型的客户端平均RTT:计算方法为所有客户端RTT之和除以客户端数量(客户端RTT为客户端网络时延:第三次握手时间减去第二次握手时间) |
|
服务端平均RTT |
该应用类型的服务器平均RTT:计算方法为所有服务器RTT之和除以服务器数量(服务器RTT为客户端网络时延又名网络时延:第二次握手时间减去第一次握手时间) |
|
应用时延 |
基于该应用的时延统计:当前只支持基于HTTP和DNS的应用类型 |
|
下行TCP重传包数 |
下行方向TCP重传的包数 |
|
下行TCP0窗口 |
下行方向TCP0窗口的次数:TCP0窗口是指当接收方的接收缓冲区满了以后,会把响应报文中的通告窗口字段置为0,从而阻止发送方的继续发送 |
5. IP地址
在趋势图中选择一段时间范围, IP地址页签将基于源IP的维度进行统计,包括字节数、流量、流速等信息,具体字段说明请参见表-11。
双击表格中任意一行数据,可进入一级、二级、三级表格进行查看。在表格右上角的下拉框中可切换分析维度。
6. IP会话
在趋势图中选择一段时间范围, IP会话页签将以“源IP+目的IP”方式,统计所有的会话信息,包括每条会话的协议、应用、字节、流速、流量等信息。
会话类型:在下拉框中可切换会话类型,默认为TCP会话。
双击表格中任意一行数据,可进入一级表格进行查看,在表格右上角的下拉框中可切换分析维度。
7. TCP会话
在趋势图中选择一段时间范围,TCP会话页签将基于源IP统计所有TCP协议的会话信息,统计字段包括字节、数据包数、流速等信息,具体字段说明请参见表-12。
快速分类:在页签右上角快速分类的下拉框中可切换展示默认列或全部列,默认列为右侧自定义列选项中勾选的字段。
自定义列选项:在页签右上角自定义列选项的下拉框中可自定义配置表格中展示的字段。
表-12 TCP会话字段功能介绍
|
字段 |
说明 |
|
源IP |
会话的源IP地址 |
|
源IP物理地址 |
源IP地址对应的物理地址 |
|
源端口 |
会话的源端口 |
|
目的IP |
会话的目的IP |
|
目的IP物理地址 |
目的IP对应的物理地址 |
|
目的端口 |
会话的目的端口 |
|
协议 |
协议类型 |
|
应用类型 |
应用类型名称,包含自定义应用和预定义应用 |
|
总字节数 |
该应用类型的上行总字节与下行总字节之和 |
|
上行总字节 |
上行方向该应用类型总的报文字节大小 |
|
下行总字节 |
下行方向该应用类型总的报文字节大小 |
|
总数据包 |
该应用类型的上行总数据包与下行总数据包数量之和 |
|
上行总数据包 |
上行方向该应用类型的数据包个数 |
|
下行总数据包 |
下行方向该应用类型的数据包个数 |
|
总流速 |
该应用类型的上行总流速与下行总流速之和 |
|
上行总流速 |
上行方向该应用类型总的流速 |
|
下行总流速 |
下行方向该应用类型总的流速 |
|
总包速 |
该应用类型的上行总包速与下行总包速之和 |
|
上行总包速 |
上行方向该应用类型总的包速率 |
|
下行总包速 |
下行方向该应用类型总的包速率 |
|
连接状态 |
当前会话的连接状态,包括发起连接、完成三次握手等 |
|
客户端RTT |
该应用类型的客户端平均RTT:计算方法为所有客户端RTT之和除以客户端数量 |
|
服务端RTT |
该应用类型的服务器平均RTT:计算方法为所有服务器RTT之和除以服务器数量 |
|
TCP同步包数 |
三次握手报文中syn包数 |
|
TCP同步确认包数 |
三次握手报文中syn_ack包数 |
|
下行TCP重置包数 |
下行方向reset包数 |
|
服务器重传数量 |
服务器出现重传的次数 |
|
服务器TCP0窗口 |
TCP0窗口是指当接收方的接收缓冲区满了以后,会把响应报文中的通告窗口字段置为0,从而阻止发送方的继续发送 |
8. UDP会话
在趋势图中选择一段时间范围, UDP会话页签将基于源IP统计所有UDP协议的会话信息,统计字段包括字节、数据包数、流速等,具体字段说明请参见表-12。
快速分类:在页签右上角快速分类的下拉框中可切换展示默认列或全部列,默认列为右侧自定义列选项中勾选的字段。
自定义列选项:在页签右上角自定义列选项的下拉框中可自定义配置表格中展示的字段。
9. 端口
在趋势图中选择一段时间范围,端口页签将基于目的端口统计所有端口的信息,统计字段包括字节、数据包数、流速等信息,具体字段说明请参见表-12。
端口类型:在下拉框中可切换端口类型,默认为TCP端口。