網(wǎng)絡(luò)故障診斷－利用tcp標(biāo)記分析故障

1、<p>　　網(wǎng)絡(luò)故障診斷 － 利用TCP標(biāo)記分析故障</p><p><b>　　TCP標(biāo)記簡介</b></p><p>　　TCP，全稱Transfer Control Protocol，中文名為傳輸控制協(xié)議；它工作在OSI的傳輸層，提供面向連接的可靠傳輸服務(wù)。</p><p>　　在TCP的報頭中，有一個TCP標(biāo)記字段，這個字段用

2、來指出當(dāng)前這個數(shù)據(jù)包的用途。TCP連接標(biāo)記字段長6比特，共有6種不同的標(biāo)記，在一個TCP連接中可能會使用其中的多個標(biāo)記。這6種標(biāo)記是：</p><p>　　緊急（Urgent，簡稱URG）：通知對方主機該TCP數(shù)據(jù)包中包含有緊急數(shù)據(jù)；</p><p>　　確認(rèn)(Acknowledgement,簡稱ACK)：用來確認(rèn)接收到對方主機的TCP數(shù)據(jù)包；</p><p>　　

3、急迫(Push，簡稱PSH)：通知對方主機立即將該數(shù)據(jù)包送往上層協(xié)議；</p><p>　　重置(Reset，簡稱RST)：表示此TCP連接已被對方主機重新啟動；</p><p>　　同步(Synchronization，簡稱SYN)：用來建立和對方主機的TCP連接；</p><p>　　終止(Finish，簡稱FIN）：用來關(guān)閉TCP連接。</p>

4、<p>　　不同數(shù)據(jù)包中的TCP 標(biāo)記可能相同，也可能不同，通過數(shù)據(jù)包的解碼，可以知道當(dāng)前數(shù)據(jù)包正在進(jìn)行的操作及其作用。如TCP三次握手的第一步會將同步位置為1；第二步會同時將確認(rèn)位和同步位置為1；第三步會將確認(rèn)位置為1。根據(jù)TCP標(biāo)記的特性，我們可以利用它分析網(wǎng)絡(luò)中常見的網(wǎng)絡(luò)應(yīng)用故障。</p><p>　　利用TCP標(biāo)記分析網(wǎng)絡(luò)故障</p><p>　　當(dāng)遇到目標(biāo)主機的某TCP

5、服務(wù)不能訪問時，我們可以通過對其訪問的過程進(jìn)行抓包分析，從而找出不能訪問的原因，下面我們用科來網(wǎng)絡(luò)分析系統(tǒng)5.0，以分析Telnet為例說明分析的方法。</p><p>　　圖1是在Windows客戶端（客戶端主機名為wangym）上使用Telnet命令訪問其他主機的情況。從圖1的返回結(jié)果可知，兩臺主機的Telnet服務(wù)都不能正常訪問，但我們無法確定不能訪問的原因，是因為網(wǎng)絡(luò)不通，還是這臺主機沒有提供Telnet

6、服務(wù)。</p><p>　?。▓D1　WINDOWS客戶端使用Telnet命令圖示）</p><p><b>　　注意：</b></p><p>　　這里使用的Telnet命令是在假定目標(biāo)服務(wù)器使用默認(rèn)的端口配置，即Telnet服務(wù)器端口是TCP 23；</p><p>　　可能有些用戶想到使用Ping命令測試網(wǎng)絡(luò)的連通性

7、，但由于承載Ping命令的ICMP協(xié)議可以導(dǎo)致一些非法攻擊，對網(wǎng)絡(luò)的安全會造成一定的威脅，使得某些ISP廠商或者網(wǎng)絡(luò)管理員都在他們的三層設(shè)備處禁用了ICMP協(xié)議的轉(zhuǎn)發(fā)。在這種情況下，使用Ping命令便無法準(zhǔn)確測試主機的連通性。</p><p>　　圖2是在WINDOWS客戶端使用Telnet命令訪問192.168.2.10主機時，科來網(wǎng)絡(luò)分析系統(tǒng)5.0捕獲到的數(shù)據(jù)包信息。</p><p>

8、　　（圖2　Telnet訪問192.168.2.10的原始數(shù)據(jù)包）</p><p>　　從圖2可知，使用Telnet命令訪問192.168.2.10主機時，兩主機間共有三個數(shù)據(jù)包通信，仔細(xì)查看數(shù)據(jù)包及其解碼，發(fā)現(xiàn)三個數(shù)據(jù)包都是從客戶端發(fā)往192.168.2.10主機的，三個數(shù)據(jù)包的確認(rèn)號都是0，且都將TCP標(biāo)記中的同步位置1，表明三個數(shù)據(jù)包都是TCP三次握手的第一步，即TCP同步數(shù)據(jù)包。沒有從192.168.2.

9、10發(fā)往客戶端的數(shù)據(jù)包，說明此時客戶端與192.168.2.10主機在物理鏈路上不通，可能是網(wǎng)絡(luò)中沒有IP地址為192.168.2.10這臺機器，或者這臺機器沒有開機。</p><p>　　圖3是在WINDOWS客戶端使用Telnet命令訪問192.168.2.100主機時，科來網(wǎng)絡(luò)分析系統(tǒng)5.0捕獲到的數(shù)據(jù)包信息。</p><p>　?。▓D3　Telnet訪問192.168.2.100的

10、原始數(shù)據(jù)包）</p><p>　　從圖3可知，使用Telnet命令訪問192.168.2.100主機時，兩主機間共有6個數(shù)據(jù)包通信，仔細(xì)查看數(shù)據(jù)包及其解碼，發(fā)現(xiàn)1,3,5這三個數(shù)據(jù)包是從客戶端發(fā)往192.168.2.100主機的，這三個數(shù)據(jù)包的確認(rèn)號是0，TCP標(biāo)記是同步位置1，表明三個數(shù)據(jù)包都是TCP三次握手的第一步，即TCP同步數(shù)據(jù)包。2,4,6這三個數(shù)據(jù)包是從192.168.2.100主機發(fā)往客戶端的，這三

11、個數(shù)據(jù)包的確認(rèn)號是確認(rèn)號1589766797，TCP標(biāo)記是確認(rèn)位和重置位同時置1，表示這三個數(shù)據(jù)包都是192.168.2.100對客戶端的確認(rèn)數(shù)據(jù)包，同時它拒絕了客戶端的建立連接的TCP同步請求，告訴客戶端當(dāng)前主機（這里是192.168.2.100）沒有打開客戶端請求的服務(wù)，并中斷這個連接。</p><p>　　注意：我們發(fā)現(xiàn)在圖2和圖3中，客戶端都向服務(wù)器（這里是192.168.2.10和192.168.2.1

12、00）發(fā)送了三次相同的TCP SYN請求，這是為什么呢？其實這是TCP的協(xié)議規(guī)定造成的，當(dāng)客戶端使用TCP SYN向服務(wù)器發(fā)起三方握手的第一步后，如果沒有收到服務(wù)器的SYN/ACK響應(yīng)，就會在等待一段時間后再次嘗試對服務(wù)器進(jìn)行連接，如果連接三次后仍然失敗，則不會再重復(fù)此操作，所以我們在圖中看到了三次完全一樣的TCP SYN數(shù)據(jù)包。</p><p>　　通過對上面兩種情況的抓包分析，我們可知道，192.168.2.

13、10主機不能訪問的原因是兩臺主機之間的物理鏈路不通，可能是不存在192.168.2.10這臺機器，或者192.168.2.10處于關(guān)機狀態(tài)等。而192.168.2.100不能訪問的原因是192.168.2.100這臺機器沒有提供客戶端請求的Telnet服務(wù)，即沒有打開TCP 23端口。</p><p>　　這種方法適用于中所有的TCP服務(wù)，用戶在遇到不能訪問某服務(wù)器（各種TCP應(yīng)用的服務(wù)器）時，便可使用這種方法對