通过TCP交易时序图可以看出,服务端在对客户端的第一个请求进行确认后,经过了7秒才发出了响应数据包。这段时间应该就是导致客户端访问网银系统缓慢的直接原因。
为了确定这个延迟产生的具体原因,分析SSL加密设备进出数据,找出相同源IP的TCP会话数据进行对比,发现在SSL加密设备出口处同样出现服务器端在很长时间后才发出响应数据。如图:
外网出口出现的故障现象在SSL加密设备出口同样存在,证明这段延迟不是在SSL加密设备之前产生,F5到SSL加密设备之间的网络正常。
进一步分析SSL加密设备和网银服务器交互数据,由于这部分数据是没有进行加密传输的,因此无法准确定位到之前分析的同一个TCP会话。而通过对大量TCP会话的对比分析,发现SSL加密设备和网银服务器之间的数据传输很快,所有会话都是在1S之内完成,基本不存在响应延时情况。如图:
通过以上的分析,基本可以判定由于SSL加密设备造成了网银系统访问缓慢的原因。而SSL加密设备在进行数据加密之前,会进行一个密钥的协商,具体过程如下图:
结合故障数据包分析,可以发现出现延时的数据包是由SSL加密设备向客户端响应的Server hello数据包,因此更加可以肯定SSL加密设备就是造成故障的根本原因。