| |
二、利用TCP标记分析故障
1、TCP标记简介
TCP,全称Transfer Control Protocol,中文名为传输控制协议;它工作在OSI的传输层,提供面向连接的可靠传输服务。
在TCP的报头中,有一个TCP标记字段,这个字段用来指出当前这个数据包的用途。TCP连接标记字段长6比特,共有6种不同的标记,在一个TCP连接中可能会使用其中的多个标记。这6种标记是:
(1).紧急(Urgent,简称URG):通知对方主机该TCP数据包中包含有紧急数据;
(2).确认(Acknowledgement,简称ACK):用来确认接收到对方主机的TCP数据包;
(3).急迫(Push,简称PSH):通知对方主机立即将该数据包送往上层协议;
(4).重置(Reset,简称RST):表示此TCP连接已被对方主机重新启动;
(5).同步(Synchronization,简称SYN):用来建立和对方主机的TCP连接;
(6).终止(Finish,简称FIN):用来关闭TCP连接。
不同数据包中的TCP 标记可能相同,也可能不同,通过数据包的解码,可以知道当前数据包正在进行的操作及其作用。如TCP三次握手的第一步会将同步位置为1;第二步会同时将确认位和同步位置为1;第三步会将确认位置为1。根据TCP标记的特性,我们可以利用它分析网络中常见的网络应用故障。
2、利用TCP标记分析网络故障
当遇到目标主机的某TCP服务不能访问时,我们可以通过对其访问的过程进行抓包分析,从而找出不能访问的原因,下面我们用科来网络分析系统6.0,以分析Telnet为例说明分析的方法。
图3是在Windows客户端(客户端主机名为lw)上使用Telnet命令访问其他主机的情况。从图3的返回结果可知,两台主机的Telnet服务都不能正常访问,但我们无法确定不能访问的原因,是因为网络不通,还是这台主机没有提供Telnet服务。(图3)
图 3
注意:
(1).这里使用的Telnet命令是在假定目标服务器使用默认的端口配置,即Telnet服务器端口是TCP 23;
(2).可能有些用户想到使用Ping命令测试网络的连通性,但由于承载Ping命令的ICMP协议可以导致一些非法攻击,对网络的安全会造成一定的威胁,使得某些ISP厂商或者网络管理员都在他们的三层设备处禁用了ICMP协议的转发。在这种情况下,使用Ping命令便无法准确测试主机的连通性。
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
