- 1、本文档共5页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络故障诊断
利用 TCP 标记分析故障
一、 TCP 标记简介
TCP全称Transfer Control Protocol ,中文名为传输控制协议;它工作在 OSI的传输层,
提供面向连接的可靠传输服务。
在TCP的报头中,有一个 TCP标记字段,这个字段用来指出当前这个数据包的用途。 TCP连
接标记字段长6比特,共有6种不同的标记,在一个TCP连接中可能会使用其中的多个标记。 这 6 种标记是:
紧急(Urge nt,简称URG:通知对方主机该 TCP数据包中包含有紧急数据;
确认(Acknowledgement,简称ACK):用来确认接收到对方主机的 TCP数据包;
急迫(Push,简称PSH):通知对方主机立即将该数据包送往上层协议;
重置(Reset,简称RST):表示此TCP连接已被对方主机重新启动;
同步(Synchronization ,简称SYN):用来建立和对方主机的 TCP连接;
终止(Fi nish ,简称FIN):用来关闭TCP连接。
不同数据包中的 TCP 标记可能相同,也可能不同,通过数据包的解码,可以知道当前数据 包正在进行的操作及其作用。如 TCP三次握手的第一步会将同步位置为 1 ;第二步会同时将
确认位和同步位置为 1;第三步会将确认位置为 1。根据TCP标记的特性,我们可以利用它 分析网络中常见的网络应用故障。
二、 利用 TCP 标记分析网络故障
当遇到目标主机的某 TCP服务不能访问时,我们可以通过对其访问的过程进行抓包分析, 从
而找出不能访问的原因,下面我们用科来网络分析系统 5.0 ,以分析 Telnet 为例说明分析 的方法。
图1是在Win dows客户端(客户端主机名为 wan gym)上使用Tel net命令访问其他主机的情 况。从图 1 的返回结果可知,两台主机的 Telnet 服务都不能正常访问,但我们无法确定不 能访问的原因,是因为网络不通,还是这台主机没有提供 Telnet 服务。
百 Com.and. ProiBpt(图2
百 Com.and. ProiBpt
(图2 Telnet访问192.168.2.10 的原始数据包)
Uindou^ KF
C版杖所有眺 2601 Hicroacft Corv,
C: ^Docyne njit? and S ctt in sr^ Suang v in ini? ^tc Inct 192813?2?10 丰在逹接到艸卫…不斷开到圭机的连接,在端口 23=连接失取
C: MDnciunenit^ and. Set11 nXuanigpin 1 ngteInet fl92_16S.2_10^
止任连接釧1翹泡關.2泡B0.「不能打尸到主机的连接?衽端口 23:连接失姒
C- kJDoGunicriit:d uindl Cet€iin^-snTyininig》
(图1 WINDOW客户端使用 Tel net命令图示)
注意:
这里使用的Telnet命令是在假定目标服务器使用默认的端口配置, 即Telnet服务器端
口是 TCP 23;
可能有些用户想到使用 Ping命令测试网络的连通性,但由于承载 Ping命令的ICMP协
议可以导致一些非法攻击, 对网络的安全会造成一定的威胁, 使得某些ISP厂商或者网
络管理员都在他们的三层设备处禁用了 ICMP协议的转发。在这种情况下,使用 Ping
命令便无法准确测试主机的连通性。
图2是在 WINDOW客户端使用 Tel net命令访问192.168210 主机时,科来网络分析系统 5.0捕获到的数据包信息。
从图2可知,使用Tel net命令访问192.1682 10 主机时,两主机间共有三个数据包通信, 仔细查看数据包及其解码,发现三个数据包都是从客户端发往 192.168.2.10主机的,三个
数据包的确认号都是 0,且都将TCP标记中的同步位置 1,表明三个数据包都是 TCP三次握
手的第一步,即 TCP同步数据包。没有从 192.168.2.10 发往客户端的数据包,说明此时客 户端与192.168.2.10 主机在物理链路上不通,可能是网络中没有 IP地址为192.168.2.10
这台机器,或者这台机器没有开机。
图3是在 WINDOW客户端使用Tel net命令访问192.168.2.100 主机时,科来网络分析系统 5.0捕获到的数据包信息。
(图3 Tel net访问192.168.2.100 的原始数据包)
从图3可知,使用Telnet命令访问192.168.2.100 主机时,两主机间共有6个数据包通信, 仔细查看数据包及其解码, 发现1,3,5这三个数据包是从客户端发往 192.168.2.100主机的,
这三个数据包的确认号是 0,TCP标记是同步位置
文档评论(0)