網(wǎng)絡(luò)故障診斷－利用tcp標(biāo)記分析故障

1、<p>　　網(wǎng)絡(luò)故障診斷 － 利用TCP標(biāo)記分析故障</p><p><b>　　TCP標(biāo)記簡(jiǎn)介</b></p><p>　　TCP，全稱Transfer Control Protocol，中文名為傳輸控制協(xié)議；它工作在OSI的傳輸層，提供面向連接的可靠傳輸服務(wù)。</p><p>　　在TCP的報(bào)頭中，有一個(gè)TCP標(biāo)記字段，這個(gè)字段用

2、來(lái)指出當(dāng)前這個(gè)數(shù)據(jù)包的用途。TCP連接標(biāo)記字段長(zhǎng)6比特，共有6種不同的標(biāo)記，在一個(gè)TCP連接中可能會(huì)使用其中的多個(gè)標(biāo)記。這6種標(biāo)記是：</p><p>　　緊急（Urgent，簡(jiǎn)稱URG）：通知對(duì)方主機(jī)該TCP數(shù)據(jù)包中包含有緊急數(shù)據(jù)；</p><p>　　確認(rèn)(Acknowledgement,簡(jiǎn)稱ACK)：用來(lái)確認(rèn)接收到對(duì)方主機(jī)的TCP數(shù)據(jù)包；</p><p>　　

3、急迫(Push，簡(jiǎn)稱PSH)：通知對(duì)方主機(jī)立即將該數(shù)據(jù)包送往上層協(xié)議；</p><p>　　重置(Reset，簡(jiǎn)稱RST)：表示此TCP連接已被對(duì)方主機(jī)重新啟動(dòng)；</p><p>　　同步(Synchronization，簡(jiǎn)稱SYN)：用來(lái)建立和對(duì)方主機(jī)的TCP連接；</p><p>　　終止(Finish，簡(jiǎn)稱FIN）：用來(lái)關(guān)閉TCP連接。</p>

4、<p>　　不同數(shù)據(jù)包中的TCP 標(biāo)記可能相同，也可能不同，通過(guò)數(shù)據(jù)包的解碼，可以知道當(dāng)前數(shù)據(jù)包正在進(jìn)行的操作及其作用。如TCP三次握手的第一步會(huì)將同步位置為1；第二步會(huì)同時(shí)將確認(rèn)位和同步位置為1；第三步會(huì)將確認(rèn)位置為1。根據(jù)TCP標(biāo)記的特性，我們可以利用它分析網(wǎng)絡(luò)中常見(jiàn)的網(wǎng)絡(luò)應(yīng)用故障。</p><p>　　利用TCP標(biāo)記分析網(wǎng)絡(luò)故障</p><p>　　當(dāng)遇到目標(biāo)主機(jī)的某TCP

5、服務(wù)不能訪問(wèn)時(shí)，我們可以通過(guò)對(duì)其訪問(wèn)的過(guò)程進(jìn)行抓包分析，從而找出不能訪問(wèn)的原因，下面我們用科來(lái)網(wǎng)絡(luò)分析系統(tǒng)5.0，以分析Telnet為例說(shuō)明分析的方法。</p><p>　　圖1是在Windows客戶端（客戶端主機(jī)名為wangym）上使用Telnet命令訪問(wèn)其他主機(jī)的情況。從圖1的返回結(jié)果可知，兩臺(tái)主機(jī)的Telnet服務(wù)都不能正常訪問(wèn)，但我們無(wú)法確定不能訪問(wèn)的原因，是因?yàn)榫W(wǎng)絡(luò)不通，還是這臺(tái)主機(jī)沒(méi)有提供Telnet

6、服務(wù)。</p><p>　?。▓D1　WINDOWS客戶端使用Telnet命令圖示）</p><p><b>　　注意：</b></p><p>　　這里使用的Telnet命令是在假定目標(biāo)服務(wù)器使用默認(rèn)的端口配置，即Telnet服務(wù)器端口是TCP 23；</p><p>　　可能有些用戶想到使用Ping命令測(cè)試網(wǎng)絡(luò)的連通性

7、，但由于承載Ping命令的ICMP協(xié)議可以導(dǎo)致一些非法攻擊，對(duì)網(wǎng)絡(luò)的安全會(huì)造成一定的威脅，使得某些ISP廠商或者網(wǎng)絡(luò)管理員都在他們的三層設(shè)備處禁用了ICMP協(xié)議的轉(zhuǎn)發(fā)。在這種情況下，使用Ping命令便無(wú)法準(zhǔn)確測(cè)試主機(jī)的連通性。</p><p>　　圖2是在WINDOWS客戶端使用Telnet命令訪問(wèn)192.168.2.10主機(jī)時(shí)，科來(lái)網(wǎng)絡(luò)分析系統(tǒng)5.0捕獲到的數(shù)據(jù)包信息。</p><p>

8、　?。▓D2　Telnet訪問(wèn)192.168.2.10的原始數(shù)據(jù)包）</p><p>　　從圖2可知，使用Telnet命令訪問(wèn)192.168.2.10主機(jī)時(shí)，兩主機(jī)間共有三個(gè)數(shù)據(jù)包通信，仔細(xì)查看數(shù)據(jù)包及其解碼，發(fā)現(xiàn)三個(gè)數(shù)據(jù)包都是從客戶端發(fā)往192.168.2.10主機(jī)的，三個(gè)數(shù)據(jù)包的確認(rèn)號(hào)都是0，且都將TCP標(biāo)記中的同步位置1，表明三個(gè)數(shù)據(jù)包都是TCP三次握手的第一步，即TCP同步數(shù)據(jù)包。沒(méi)有從192.168.2.

9、10發(fā)往客戶端的數(shù)據(jù)包，說(shuō)明此時(shí)客戶端與192.168.2.10主機(jī)在物理鏈路上不通，可能是網(wǎng)絡(luò)中沒(méi)有IP地址為192.168.2.10這臺(tái)機(jī)器，或者這臺(tái)機(jī)器沒(méi)有開(kāi)機(jī)。</p><p>　　圖3是在WINDOWS客戶端使用Telnet命令訪問(wèn)192.168.2.100主機(jī)時(shí)，科來(lái)網(wǎng)絡(luò)分析系統(tǒng)5.0捕獲到的數(shù)據(jù)包信息。</p><p>　?。▓D3　Telnet訪問(wèn)192.168.2.100的

10、原始數(shù)據(jù)包）</p><p>　　從圖3可知，使用Telnet命令訪問(wèn)192.168.2.100主機(jī)時(shí)，兩主機(jī)間共有6個(gè)數(shù)據(jù)包通信，仔細(xì)查看數(shù)據(jù)包及其解碼，發(fā)現(xiàn)1,3,5這三個(gè)數(shù)據(jù)包是從客戶端發(fā)往192.168.2.100主機(jī)的，這三個(gè)數(shù)據(jù)包的確認(rèn)號(hào)是0，TCP標(biāo)記是同步位置1，表明三個(gè)數(shù)據(jù)包都是TCP三次握手的第一步，即TCP同步數(shù)據(jù)包。2,4,6這三個(gè)數(shù)據(jù)包是從192.168.2.100主機(jī)發(fā)往客戶端的，這三

11、個(gè)數(shù)據(jù)包的確認(rèn)號(hào)是確認(rèn)號(hào)1589766797，TCP標(biāo)記是確認(rèn)位和重置位同時(shí)置1，表示這三個(gè)數(shù)據(jù)包都是192.168.2.100對(duì)客戶端的確認(rèn)數(shù)據(jù)包，同時(shí)它拒絕了客戶端的建立連接的TCP同步請(qǐng)求，告訴客戶端當(dāng)前主機(jī)（這里是192.168.2.100）沒(méi)有打開(kāi)客戶端請(qǐng)求的服務(wù)，并中斷這個(gè)連接。</p><p>　　注意：我們發(fā)現(xiàn)在圖2和圖3中，客戶端都向服務(wù)器（這里是192.168.2.10和192.168.2.1

12、00）發(fā)送了三次相同的TCP SYN請(qǐng)求，這是為什么呢？其實(shí)這是TCP的協(xié)議規(guī)定造成的，當(dāng)客戶端使用TCP SYN向服務(wù)器發(fā)起三方握手的第一步后，如果沒(méi)有收到服務(wù)器的SYN/ACK響應(yīng)，就會(huì)在等待一段時(shí)間后再次嘗試對(duì)服務(wù)器進(jìn)行連接，如果連接三次后仍然失敗，則不會(huì)再重復(fù)此操作，所以我們?cè)趫D中看到了三次完全一樣的TCP SYN數(shù)據(jù)包。</p><p>　　通過(guò)對(duì)上面兩種情況的抓包分析，我們可知道，192.168.2.

13、10主機(jī)不能訪問(wèn)的原因是兩臺(tái)主機(jī)之間的物理鏈路不通，可能是不存在192.168.2.10這臺(tái)機(jī)器，或者192.168.2.10處于關(guān)機(jī)狀態(tài)等。而192.168.2.100不能訪問(wèn)的原因是192.168.2.100這臺(tái)機(jī)器沒(méi)有提供客戶端請(qǐng)求的Telnet服務(wù)，即沒(méi)有打開(kāi)TCP 23端口。</p><p>　　這種方法適用于中所有的TCP服務(wù)，用戶在遇到不能訪問(wèn)某服務(wù)器（各種TCP應(yīng)用的服務(wù)器）時(shí)，便可使用這種方法對(duì)