网络故障诊断---利用TCP标记分析故障教案资料.doc

精品文档 网络故障诊断 － 利用TCP标记分析故障 一、 TCP标记简介 TCP，全称Transfer Control Protocol，中文名为传输控制协议；它工作在OSI的传输层，提供面向连接的可靠传输服务。 在TCP的报头中，有一个TCP标记字段，这个字段用来指出当前这个数据包的用途。TCP连接标记字段长6比特，共有6种不同的标记，在一个TCP连接中可能会使用其中的多个标记。这6种标记是： 1. 紧急（Urgent，简称URG）：通知对方主机该TCP数据包中包含有紧急数据； 2. 确认(Acknowledgement,简称ACK)：用来确认接收到对方主机的TCP数据包； 3. 急迫(Push，简称PSH)：通知对方主机立即将该数据包送往上层协议； 4. 重置(Reset，简称RST)：表示此TCP连接已被对方主机重新启动； 5. 同步(Synchronization，简称SYN)：用来建立和对方主机的TCP连接； 6. 终止(Finish，简称FIN）：用来关闭TCP连接。 不同数据包中的TCP 标记可能相同，也可能不同，通过数据包的解码，可以知道当前数据包正在进行的操作及其作用。如TCP三次握手的第一步会将同步位置为1；第二步会同时将确认位和同步位置为1；第三步会将确认位置为1。根据TCP标记的特性，我们可以利用它分析网络中常见的网络应用故障。 二、 利用TCP标记分析网络故障 当遇到目标主机的某TCP服务不能访问时，我们可以通过对其访问的过程进行抓包分析，从而找出不能访问的原因，下面我们用科来网络分析系统5.0，以分析Telnet为例说明分析的方法。 图1是在Windows客户端（客户端主机名为wangym）上使用Telnet命令访问其他主机的情况。从图1的返回结果可知，两台主机的Telnet服务都不能正常访问，但我们无法确定不能访问的原因，是因为网络不通，还是这台主机没有提供Telnet服务。 （图1　WINDOWS客户端使用Telnet命令图示） 注意： 1. 这里使用的Telnet命令是在假定目标服务器使用默认的端口配置，即Telnet服务器端口是TCP 23； 2. 可能有些用户想到使用Ping命令测试网络的连通性，但由于承载Ping命令的ICMP协议可以导致一些非法攻击，对网络的安全会造成一定的威胁，使得某些ISP厂商或者网络管理员都在他们的三层设备处禁用了ICMP协议的转发。在这种情况下，使用Ping命令便无法准确测试主机的连通性。 图2是在WINDOWS客户端使用Telnet命令访问192.168.2.10主机时，科来网络分析系统5.0捕获到的数据包信息。 人民广场地铁站有一家名为“漂亮女生”的饰品店，小店新开，10平方米不到的店堂里挤满了穿着时尚的女孩子。不几日，在北京东路、淮海东路也发现了“漂亮女生”的踪影，生意也十分火爆。现在上海卖饰品的小店不计其数，大家都在叫生意难做，而“漂亮女生”却用自己独特的经营方式和魅力吸引了大批的女生。 （图2　Telnet访问192.168.2.10的原始数据包） 我们大学生没有固定的经济来源，但我们也不乏缺少潮流时尚的理念，没有哪个女生是不喜欢琳琅满目的小饰品，珠光宝气、穿金戴银便是时尚的时代早已被推出轨道，简洁、个性化的饰品成为现代时尚女性的钟爱。因此饰品这一行总是吸引很多投资者的目光。然而我们女生更注重的是感性消费，我们的消费欲望往往建立在潮流、时尚和产品的新颖性上，所以要想在饰品行业有立足之地，又尚未具备雄厚的资金条件的话，就有必要与传统首饰区别开来，自制饰品就是近一两年来沿海城市最新流行的一种。从图2可知，使用Telnet命令访问192.168.2.10主机时，两主机间共有三个数据包通信，仔细查看数据包及其解码，发现三个数据包都是从客户端发往192.168.2.10主机的，三个数据包的确认号都是0，且都将TCP标记中的同步位置1，表明三个数据包都是TCP三次握手的第一步，即TCP同步数据包。没有从192.168.2.10发往客户端的数据包，说明此时客户端与192.168.2.10主机在物理链路上不通，可能是网络中没有IP地址为192.168.2.10这台机器，或者这台机器没有开机。 图3是在WINDOWS客户端使用Telnet命令访问192.168.2.100主机时，科来网络分析系统5.0捕获到的数据包信息。 300元以下□ 300～400元□ 400～500□ 500元以上□ （图3　Telnet访问192.168.2.100的原始数据包） 图1-4大学生购买手工艺制品目的从图3可知，使用Telnet命令访问192.168.2.100主机时，两主机间共有6个数据包通信，仔细查看数据包及其解码，发现1,3,5这三个数据包是从客户端发往192.168.2.100主机的，这三个数据包的确认号是0，TCP标记是同步位置1，表明三个数据包都是TCP三次握手的第一步，即TCP同步数据包。2,4,6这三个数据包是从192.168.2.100主机发往客户端的，这三个数据包的确认号是确认号1589766797，TCP标记是确认位和重置位同时置1，表示这三个数据包都是192.168.2.100对客户端的确认数据包，同时它拒绝了客户端的建立连接的TCP同步请求，告诉客户端当前主机（这里是192.168.2.100）没有打开客户端请求的服务，并中断这个连接。 “漂亮女生”号称全国连锁店，相信他们有统一的进货渠道。店内到处贴着“10元以下任选”，价格便宜到令人心动。但是转念一想，发夹2.8元，发圈4.8元，皮夹子9.8元，好像和平日讨价还价杀来的心理价位也差不多，只不过把一只20元的发夹还到5元实在辛苦，现在明码标价倒也省心省力。注意：我们发现在图2和图3中，客户端都向服务器（这里是192.168.2.10和192.168.2.100）发送了三次相同的TCP SYN请求，这是为什么呢？其实这是TCP的协议规定造成的，当客户端使用TCP SYN向服务器发起三方握手的第一步后，如果没有收到服务器的SYN/ACK响应，就会在等待一段时间后再次尝试对服务器进行连接，如果连接三次后仍然失败，则不会再重复此操作，所以我们在图中看到了三次完全一样的TCP SYN数据包。 通过对上面两种情况的抓包分析，我们可知道，192.168.2.10主机不能访问的原因是两台主机之间的物理链路不通，可能是不存在192.168.2.10这台机器，或者192.168.2.10处于关机状态等。而192.168.2.100不能访问的原因是192.168.2.100这台机器没有提供客户端请求的Telnet服务，即没有打开TCP 23端口。 据了解，百分之八十的饰品店都推出“DIY饰品”来吸引顾客，一方面顺应了年轻一代喜欢与众不同、标新立异的心理；另一方面，自制饰品价格相对较低，可以随时更新换代，也满足了年轻人“喜新厌旧”的需要，因而很受欢迎。这种方法适用于中所有的TCP服务，用户在遇到不能访问某服务器（各种TCP应用的服务器）时，便可使用这种方法对数据包进行跟踪分析，帮助用户对故障进行排查。 （二）对“碧芝”自制饰品店的分析 调研结论：综上分析，我们认为在学院内开发“DIY手工艺品”商店这一创业项目是完全可行的。 （2）物品的独一无二成都科来软件有限公司 500元以上 12 24%2005年10月 精品文档