網(wǎng)絡(luò)慢分析實(shí)例

1、網(wǎng)絡(luò)慢故障分析實(shí)例科來(lái)安徽辦事處科來(lái)安徽辦事處目錄目錄 零窗口導(dǎo)致應(yīng)用間歇性停滯 打印慢故障 防火墻應(yīng)用層檢測(cè)導(dǎo)致FTP慢 網(wǎng)上申報(bào)故障 業(yè)務(wù)訪問(wèn)慢案例案例1-TCP窗口問(wèn)題導(dǎo)致應(yīng)用慢窗口問(wèn)題導(dǎo)致應(yīng)用慢故障現(xiàn)象：故障現(xiàn)象：應(yīng)用在交互的過(guò)程中，經(jīng)常出現(xiàn)數(shù)秒的停滯，然后應(yīng)用在交互的過(guò)程中，經(jīng)常出現(xiàn)數(shù)秒的停滯，然后恢復(fù)正常，過(guò)段時(shí)間后，又再次出現(xiàn)停滯現(xiàn)象，如恢復(fù)正常，過(guò)段時(shí)間后，又再次出現(xiàn)停滯現(xiàn)象，如此反復(fù)此反復(fù)數(shù)據(jù)交互過(guò)程分析數(shù)據(jù)交互過(guò)程分析C發(fā)送133B的數(shù)據(jù)C發(fā)送512B的數(shù)據(jù)S通告窗口大小為348BC發(fā)送53B的數(shù)據(jù)C發(fā)送348B的數(shù)據(jù)S通告窗口大小為0C對(duì)S的窗口探測(cè)報(bào)文S窗口仍未更新，大

2、小為0C對(duì)S的窗口探測(cè)報(bào)文S窗口仍未更新，大小為0S窗口更新為8192B窗口問(wèn)題導(dǎo)致應(yīng)用產(chǎn)生了窗口問(wèn)題導(dǎo)致應(yīng)用產(chǎn)生了3秒的延時(shí)秒的延時(shí)零窗口一般都是應(yīng)用程序處理性能較差，來(lái)不及處理緩存中的數(shù)據(jù)或者應(yīng)用服務(wù)器零窗口一般都是應(yīng)用程序處理性能較差，來(lái)不及處理緩存中的數(shù)據(jù)或者應(yīng)用服務(wù)器本身性能不足導(dǎo)致的本身性能不足導(dǎo)致的分析結(jié)論分析結(jié)論分析結(jié)論分析結(jié)論:應(yīng)用出現(xiàn)停滯現(xiàn)象主要是由于服務(wù)器端出現(xiàn)窗口為導(dǎo)致應(yīng)用出現(xiàn)停滯現(xiàn)象主要是由于服務(wù)器端出現(xiàn)窗口為導(dǎo)致的，肯定跟網(wǎng)絡(luò)無(wú)關(guān)，可以從服務(wù)器本身性能或者服務(wù)器的，肯定跟網(wǎng)絡(luò)無(wú)關(guān)，可以從服務(wù)器本身性能或者服務(wù)器端應(yīng)用程序入手進(jìn)行相應(yīng)的檢查端應(yīng)用程序入手進(jìn)行相應(yīng)的檢查

3、案例案例2-某應(yīng)用打印慢故障某應(yīng)用打印慢故障故障現(xiàn)象：故障現(xiàn)象：用戶某個(gè)業(yè)務(wù)應(yīng)用在執(zhí)行打印操作時(shí)，打印速度很慢，一般需要等20多秒才可以正常打印。故障分析：故障分析：打印行為似乎跟網(wǎng)絡(luò)無(wú)關(guān)，但是我們還是先抓包看看，我們發(fā)現(xiàn)，每次打印的時(shí)候，客戶端均需要連接數(shù)據(jù)庫(kù)服務(wù)器，如下圖：這說(shuō)明，這個(gè)打印操作這說(shuō)明，這個(gè)打印操作是需要連接網(wǎng)絡(luò)中的數(shù)是需要連接網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)，從數(shù)據(jù)庫(kù)中調(diào)用據(jù)庫(kù)，從數(shù)據(jù)庫(kù)中調(diào)用相關(guān)的打印數(shù)據(jù)，也就相關(guān)的打印數(shù)據(jù)，也就是說(shuō)，這個(gè)網(wǎng)絡(luò)調(diào)用的是說(shuō)，這個(gè)網(wǎng)絡(luò)調(diào)用的過(guò)程，很可能就是產(chǎn)生過(guò)程，很可能就是產(chǎn)生打印時(shí)延的原因打印時(shí)延的原因分析過(guò)程分析過(guò)程1-定位異常定位異常TCP會(huì)話會(huì)話在科

4、來(lái)的在科來(lái)的“會(huì)話會(huì)話”視圖中，我們查看視圖中，我們查看TCP會(huì)話會(huì)話，我們可以發(fā)現(xiàn)有三個(gè)會(huì)話跟數(shù)據(jù)庫(kù)有關(guān)我們可以發(fā)現(xiàn)有三個(gè)會(huì)話跟數(shù)據(jù)庫(kù)有關(guān)我們可以根據(jù)我們可以根據(jù)TCP的的會(huì)話持續(xù)時(shí)間會(huì)話持續(xù)時(shí)間，來(lái)定位產(chǎn)生延時(shí)的，來(lái)定位產(chǎn)生延時(shí)的TCP會(huì)話會(huì)話分析過(guò)程分析過(guò)程2-定位延時(shí)產(chǎn)生的位置定位延時(shí)產(chǎn)生的位置原理：原理：我們通過(guò)我們通過(guò)時(shí)時(shí)間差間差來(lái)定位來(lái)定位延時(shí)產(chǎn)生的延時(shí)產(chǎn)生的位置。位置。我們可以發(fā)我們可以發(fā)現(xiàn)在時(shí)間差現(xiàn)在時(shí)間差視圖中，存視圖中，存在一個(gè)在一個(gè)22.9秒的延時(shí)秒的延時(shí)，這個(gè)數(shù)據(jù)包這個(gè)數(shù)據(jù)包是客戶端向是客戶端向服務(wù)器發(fā)送服務(wù)器發(fā)送的數(shù)據(jù)包，的數(shù)據(jù)包，那么這個(gè)延那么這個(gè)延時(shí)應(yīng)該就是時(shí)應(yīng)

5、該就是客戶端產(chǎn)生客戶端產(chǎn)生的的分析過(guò)程分析過(guò)程3-查看數(shù)據(jù)包內(nèi)容查看數(shù)據(jù)包內(nèi)容是客戶端是客戶端向數(shù)據(jù)庫(kù)向數(shù)據(jù)庫(kù)服務(wù)器進(jìn)服務(wù)器進(jìn)行查詢的行查詢的行為；行為；客戶端在客戶端在等待了近等待了近23秒才向秒才向服務(wù)器發(fā)服務(wù)器發(fā)出這個(gè)查出這個(gè)查詢操作！詢操作！分析結(jié)論與故障解決分析結(jié)論與故障解決分析結(jié)論：分析結(jié)論：1，客戶端在執(zhí)行打印操作時(shí)，需要向網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)服務(wù)器，客戶端在執(zhí)行打印操作時(shí)，需要向網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)服務(wù)器調(diào)用相應(yīng)的打印數(shù)據(jù)調(diào)用相應(yīng)的打印數(shù)據(jù)2，客戶端在與數(shù)據(jù)庫(kù)服務(wù)器交互的過(guò)程中，本身在執(zhí)行一個(gè)，客戶端在與數(shù)據(jù)庫(kù)服務(wù)器交互的過(guò)程中，本身在執(zhí)行一個(gè)查詢操作前，等待了查詢操作前，等待了22.98

6、秒的時(shí)間，從而導(dǎo)致了打印的延時(shí)秒的時(shí)間，從而導(dǎo)致了打印的延時(shí)故障解決：故障解決：卸載這個(gè)應(yīng)用軟件，重新安裝，再次測(cè)試打印速度，已經(jīng)恢卸載這個(gè)應(yīng)用軟件，重新安裝，再次測(cè)試打印速度，已經(jīng)恢復(fù)正常，至此，故障解決復(fù)正常，至此，故障解決小結(jié)：小結(jié)：其實(shí)，我們還可以通過(guò)對(duì)比分析法（對(duì)比分析正常打印的數(shù)其實(shí)，我們還可以通過(guò)對(duì)比分析法（對(duì)比分析正常打印的數(shù)據(jù)包與打印慢的數(shù)據(jù)包）來(lái)定位這個(gè)故障的原因。據(jù)包與打印慢的數(shù)據(jù)包）來(lái)定位這個(gè)故障的原因。案例案例3-防火墻應(yīng)用層檢測(cè)防火墻應(yīng)用層檢測(cè)BUG導(dǎo)致導(dǎo)致FTP慢慢 故障現(xiàn)象 故障環(huán)境 故障分析思路 故障分析過(guò)程 故障解決故障環(huán)境故障環(huán)境說(shuō)明：說(shuō)明：1、客戶端的默

7、認(rèn)網(wǎng)關(guān)是主路由器2、主路由上設(shè)置了相應(yīng)的策略，凡是FTP/HTTP的應(yīng)用均交由備路由處理3、備路由上會(huì)將訪問(wèn)國(guó)家局的網(wǎng)段指向國(guó)家局路由4、核心與路由間均部署防火墻，防火墻工作在透明模式下5、客戶端訪問(wèn)服務(wù)器的數(shù)據(jù)流走向比較復(fù)雜，看演示思考：思考：服務(wù)器回包的數(shù)據(jù)流走向是如何的？故障現(xiàn)象故障現(xiàn)象 省局到國(guó)家局的FTP服務(wù)很慢，一般需要40多秒才可以登陸上去，有時(shí)根本登陸不上去 Ping測(cè)試延時(shí)很小 省局到國(guó)家局的HTTP應(yīng)用正常前期簡(jiǎn)單分析前期簡(jiǎn)單分析 Ping延時(shí)很小，說(shuō)明網(wǎng)絡(luò)層的延時(shí)很正常 網(wǎng)絡(luò)環(huán)境復(fù)雜，數(shù)據(jù)流走向復(fù)雜，數(shù)據(jù)包來(lái)回路徑不一致，中間經(jīng)過(guò)2臺(tái)防火墻，可能存在狀態(tài)檢測(cè)的問(wèn)題 HTT

8、P的數(shù)據(jù)流走向跟FTP的數(shù)據(jù)流走向應(yīng)該是一樣的，HTTP正常，F(xiàn)TP不正常，說(shuō)明這個(gè)跟TCP的狀態(tài)檢測(cè)無(wú)關(guān)，應(yīng)該是FTP應(yīng)用層的問(wèn)題 暫時(shí)沒(méi)什么頭緒，只能先從客戶端下手，進(jìn)行抓包分析，看看大體的情況登陸不上時(shí)的數(shù)據(jù)包分析登陸不上時(shí)的數(shù)據(jù)包分析TCP三次握手建立連接S響應(yīng)：winsock readyC輸入用戶名C用戶名第一次重傳2.9S的延時(shí)S的第一次重傳S的第二次重傳C用戶名第二次重傳C用戶名第三次重傳S的第三次重傳C用戶名第四次重傳S：用戶名ok，需密碼C輸入密碼S：超時(shí)關(guān)閉S“需密碼”重傳C重傳密碼5.9S的延時(shí)12S的延時(shí)23.9S的延時(shí)23.9S的延時(shí)6S的延時(shí)15.8S的延時(shí)C對(duì)”S

9、第一次重傳“的確認(rèn)C對(duì)”S第二次重傳“的確認(rèn)C對(duì)”S第三次重傳“的確認(rèn)登陸成功，但是很慢的數(shù)據(jù)包分析登陸成功，但是很慢的數(shù)據(jù)包分析TCP三次握手建立連接S響應(yīng)：winsock readyC輸入用戶名C用戶名第一次重傳C用戶名第二次重傳C對(duì)”S第一次重傳“的確認(rèn)C對(duì)”S第二次重傳“的確認(rèn)S的第一次重傳S的第二次重傳S：用戶名ok，需密碼S“需密碼”第一次重傳C輸入密碼C密碼第一次重傳C密碼第二次重傳S“需密碼”第二次重傳C密碼第三次重傳S：登陸成功29.9S的延時(shí)23.9S的延時(shí)11.9S的延時(shí)5.8S的延時(shí)2.8S的延時(shí)交互過(guò)程示意圖交互過(guò)程示意圖用戶名請(qǐng)求用戶名請(qǐng)求用戶名用戶名請(qǐng)求用戶名請(qǐng)求

10、用戶名用戶名請(qǐng)求用戶名請(qǐng)求用戶名請(qǐng)求用戶名請(qǐng)求用戶名S：winsock readyC輸入用戶名輸入用戶名C用戶名第一次重傳用戶名第一次重傳C用戶名第二次重傳用戶名第二次重傳S的第一次重傳的第一次重傳S的第二次重傳的第二次重傳S的第三次重傳的第三次重傳結(jié)論結(jié)論：客戶端傳輸用戶的數(shù)據(jù)包被中間設(shè)備丟掉了！定位是什么設(shè)備丟包定位是什么設(shè)備丟包原理：原理：一個(gè)目的地址不是中間設(shè)備的包進(jìn)入一個(gè)中間設(shè)備，它必然會(huì)被中間設(shè)備轉(zhuǎn)發(fā)到一個(gè)出口，否則，就是被中間設(shè)備丟棄了對(duì)比分析法：對(duì)比分析法：通過(guò)抓取中間設(shè)備進(jìn)出口的數(shù)據(jù)包，結(jié)合數(shù)據(jù)包內(nèi)IPID、五元組、內(nèi)容等信息來(lái)判斷是否屬于同一會(huì)話，是否有數(shù)據(jù)包被丟棄雙網(wǎng)卡筆

11、記本安裝科來(lái)雙網(wǎng)卡筆記本安裝科來(lái)開啟兩個(gè)工程，分別針開啟兩個(gè)工程，分別針對(duì)中間設(shè)備進(jìn)出口抓包對(duì)中間設(shè)備進(jìn)出口抓包TAPTAP其實(shí)我們也可以利用中間設(shè)備本身自帶的抓包功能進(jìn)行分析和其實(shí)我們也可以利用中間設(shè)備本身自帶的抓包功能進(jìn)行分析和定位，具體可以參考我以前寫的定位，具體可以參考我以前寫的PPT：疑難故障解決實(shí)例疑難故障解決實(shí)例通過(guò)此種方法，我們定位出是防火墻丟包！通過(guò)此種方法，我們定位出是防火墻丟包！防火墻丟包原因分析防火墻丟包原因分析TIPS:防火墻中的兩個(gè)概念防火墻中的兩個(gè)概念狀態(tài)檢測(cè)：深度檢測(cè)：原因分析：原因分析：1，數(shù)據(jù)包來(lái)回路徑肯定是不一致的，那么對(duì)于基于狀態(tài)檢測(cè)的防火墻，是不會(huì)建立

12、TCP連接的但是HTTP應(yīng)用正常，抓包顯示FTP三次握手的過(guò)程也很正常，說(shuō)明跟TCP狀態(tài)檢測(cè)無(wú)關(guān)2，抓包分析我們可以發(fā)現(xiàn)被丟棄的包都是FTP傳輸用戶名和密碼的包，這個(gè)肯定屬于FTP應(yīng)用層的包，防火墻丟棄FTP應(yīng)用層的數(shù)據(jù)包，那么問(wèn)題應(yīng)該就出在防火墻的FTP應(yīng)用層檢測(cè)上故障解決故障解決故障解決：故障解決：1，在防火墻上取消FTP應(yīng)用綁定，讓防火墻不要對(duì)FTP的數(shù)據(jù)包進(jìn)行深度的過(guò)濾和檢測(cè)2，測(cè)試，F(xiàn)TP登陸正常思考：思考：除了在防火墻上取消針對(duì)FTP應(yīng)用的應(yīng)用層深度檢測(cè)功能外，還有其他的解決方式嗎？提示：提示：大家注意數(shù)據(jù)包中的ICMP重定向報(bào)文案例案例4-網(wǎng)上申報(bào)故障網(wǎng)上申報(bào)故障說(shuō)明說(shuō)明:n1，

13、網(wǎng)上申報(bào)服務(wù)器的地址是，網(wǎng)上申報(bào)服務(wù)器的地址是，經(jīng)過(guò)網(wǎng)閘后轉(zhuǎn)換，經(jīng)過(guò)網(wǎng)閘后轉(zhuǎn)換為為X.X.16.73；n2，前置機(jī)的，前置機(jī)的IP地址為地址為X.X.16.56，征管服務(wù)器的，征管服務(wù)器的IP地址為地址為X.X.16.200。業(yè)務(wù)訪問(wèn)流程：業(yè)務(wù)訪問(wèn)流程：p1，納稅人通過(guò)互聯(lián)網(wǎng)登陸網(wǎng)上申報(bào)服務(wù)器，提交相關(guān)納稅信，納稅人通過(guò)互聯(lián)網(wǎng)登陸網(wǎng)上申報(bào)服務(wù)器，提交相關(guān)納稅信息；息；p2，網(wǎng)上申報(bào)服務(wù)器將這些納稅信息轉(zhuǎn)發(fā)給前置機(jī)的同時(shí)，將，網(wǎng)上申報(bào)服務(wù)器將這些納稅信息轉(zhuǎn)發(fā)給前置機(jī)的同時(shí)，將相關(guān)信息寫入征管服務(wù)器數(shù)據(jù)庫(kù)；相關(guān)信息寫入征管服務(wù)器數(shù)據(jù)庫(kù)；p3，網(wǎng)上申報(bào)服務(wù)器與前置機(jī)的數(shù)據(jù)交互出

14、現(xiàn)問(wèn)題，那么網(wǎng)上，網(wǎng)上申報(bào)服務(wù)器與前置機(jī)的數(shù)據(jù)交互出現(xiàn)問(wèn)題，那么網(wǎng)上申報(bào)服務(wù)器會(huì)將征管服務(wù)器數(shù)據(jù)庫(kù)相關(guān)的信息鎖死申報(bào)服務(wù)器會(huì)將征管服務(wù)器數(shù)據(jù)庫(kù)相關(guān)的信息鎖死 拓?fù)洌和負(fù)洌汗收犀F(xiàn)象故障現(xiàn)象故障現(xiàn)象：故障現(xiàn)象：p1，網(wǎng)上申報(bào)業(yè)務(wù)系統(tǒng)運(yùn)行時(shí)，每天總有一部，網(wǎng)上申報(bào)業(yè)務(wù)系統(tǒng)運(yùn)行時(shí)，每天總有一部分納稅人的申報(bào)表單數(shù)據(jù)無(wú)法正常上傳，可以分納稅人的申報(bào)表單數(shù)據(jù)無(wú)法正常上傳，可以通過(guò)征管服務(wù)器的業(yè)務(wù)軟件看到這些用戶的申通過(guò)征管服務(wù)器的業(yè)務(wù)軟件看到這些用戶的申報(bào)數(shù)據(jù)處于鎖狀態(tài)；報(bào)數(shù)據(jù)處于鎖狀態(tài)；p2，在沒(méi)有網(wǎng)閘的情況下，網(wǎng)上申報(bào)服務(wù)器與，在沒(méi)有網(wǎng)閘的情況下，網(wǎng)上申報(bào)服務(wù)器與前置機(jī)直接通訊，則故障現(xiàn)象消失，網(wǎng)上納

15、稅前置機(jī)直接通訊，則故障現(xiàn)象消失，網(wǎng)上納稅全部正常。全部正常。故障分析故障分析前期分析前期分析p1，結(jié)合故障現(xiàn)象與業(yè)務(wù)流程，我們可以清晰的發(fā)現(xiàn)，問(wèn)題應(yīng)該就是出現(xiàn)在，結(jié)合故障現(xiàn)象與業(yè)務(wù)流程，我們可以清晰的發(fā)現(xiàn)，問(wèn)題應(yīng)該就是出現(xiàn)在網(wǎng)上申報(bào)服務(wù)器經(jīng)過(guò)網(wǎng)閘的地址轉(zhuǎn)換后與前置機(jī)交互的過(guò)程。網(wǎng)上申報(bào)服務(wù)器經(jīng)過(guò)網(wǎng)閘的地址轉(zhuǎn)換后與前置機(jī)交互的過(guò)程。p2，在網(wǎng)上申報(bào)服務(wù)器不通過(guò)網(wǎng)閘的地址轉(zhuǎn)換而是直接與前置機(jī)交互的時(shí)候，在網(wǎng)上申報(bào)服務(wù)器不通過(guò)網(wǎng)閘的地址轉(zhuǎn)換而是直接與前置機(jī)交互的時(shí)候，業(yè)務(wù)應(yīng)用一切正常，那么，是網(wǎng)閘在做地址轉(zhuǎn)換的時(shí)候?qū)δ承?shù)據(jù)報(bào)文做了業(yè)務(wù)應(yīng)用一切正常，那么，是網(wǎng)閘在做地址轉(zhuǎn)換的時(shí)候?qū)δ承?shù)據(jù)報(bào)文做了

16、修改或者是網(wǎng)閘直接丟棄了某些業(yè)務(wù)報(bào)文導(dǎo)致的故障嗎？修改或者是網(wǎng)閘直接丟棄了某些業(yè)務(wù)報(bào)文導(dǎo)致的故障嗎？p3，網(wǎng)閘是最為可疑的故障關(guān)鍵點(diǎn)，我們決定在網(wǎng)閘前后部署網(wǎng)絡(luò)分析系統(tǒng)，網(wǎng)閘是最為可疑的故障關(guān)鍵點(diǎn)，我們決定在網(wǎng)閘前后部署網(wǎng)絡(luò)分析系統(tǒng)（在此環(huán)境下，可直接在申報(bào)服務(wù)器上和前置機(jī)上分別安裝網(wǎng)絡(luò)分析系統(tǒng)），（在此環(huán)境下，可直接在申報(bào)服務(wù)器上和前置機(jī)上分別安裝網(wǎng)絡(luò)分析系統(tǒng)），對(duì)網(wǎng)上申報(bào)業(yè)務(wù)數(shù)據(jù)交互過(guò)程分別進(jìn)行抓包，如下圖所示：對(duì)網(wǎng)上申報(bào)業(yè)務(wù)數(shù)據(jù)交互過(guò)程分別進(jìn)行抓包，如下圖所示： 數(shù)據(jù)分析數(shù)據(jù)分析-發(fā)現(xiàn)異常發(fā)現(xiàn)異常TCP會(huì)話會(huì)話我們通過(guò)科來(lái)網(wǎng)絡(luò)分析系統(tǒng)捕獲前置機(jī)交互的數(shù)據(jù)包，一段時(shí)間后，我們?cè)谖覀兺ㄟ^(guò)科來(lái)

17、網(wǎng)絡(luò)分析系統(tǒng)捕獲前置機(jī)交互的數(shù)據(jù)包，一段時(shí)間后，我們?cè)凇癟CP會(huì)話會(huì)話” 視圖中，發(fā)現(xiàn)有幾個(gè)視圖中，發(fā)現(xiàn)有幾個(gè)TCP會(huì)話持續(xù)的時(shí)間比一般的會(huì)話持續(xù)的時(shí)間比一般的TCP會(huì)話長(zhǎng)會(huì)話長(zhǎng)很多，如下圖所示：很多，如下圖所示： 這幾個(gè)這幾個(gè)TCP會(huì)話持續(xù)的會(huì)話持續(xù)的時(shí)間均超出時(shí)間均超出其他的會(huì)話其他的會(huì)話很多很多異常會(huì)話交互過(guò)程分析異常會(huì)話交互過(guò)程分析網(wǎng)閘地址網(wǎng)閘地址73首先發(fā)首先發(fā)送送RESET報(bào)文報(bào)文網(wǎng)閘地址向前置機(jī)發(fā)網(wǎng)閘地址向前置機(jī)發(fā)送（重傳）報(bào)文，前送（重傳）報(bào)文，前置機(jī)直接發(fā)送置機(jī)直接發(fā)送RESET報(bào)文重置連接。報(bào)文重置連接。這個(gè)過(guò)程，導(dǎo)致了該這個(gè)過(guò)程，導(dǎo)致了該TCP會(huì)話持續(xù)時(shí)間很會(huì)話持續(xù)時(shí)間很

18、長(zhǎng)。長(zhǎng)。第一個(gè)第一個(gè)reset報(bào)文解碼報(bào)文解碼這個(gè)數(shù)據(jù)報(bào)文的源這個(gè)數(shù)據(jù)報(bào)文的源MAC地址并地址并非網(wǎng)閘的非網(wǎng)閘的MAC，真實(shí)的網(wǎng)閘，真實(shí)的網(wǎng)閘MAC地址是地址是00:40:63:EF:43:DF 為什么網(wǎng)閘的為什么網(wǎng)閘的MAC發(fā)生了變化？難道網(wǎng)內(nèi)存在會(huì)話劫持？發(fā)生了變化？難道網(wǎng)內(nèi)存在會(huì)話劫持？查看整個(gè)交互過(guò)程的查看整個(gè)交互過(guò)程的MAC變化變化網(wǎng)閘源網(wǎng)閘源MAC為為00:40:63:EF:43:DF前置機(jī)發(fā)往網(wǎng)閘的確認(rèn)數(shù)據(jù)前置機(jī)發(fā)往網(wǎng)閘的確認(rèn)數(shù)據(jù)報(bào)文，封裝的目的報(bào)文，封裝的目的MAC卻是卻是00:21:5E:82:AF:86MAC為為00:21:5E:82:AF:86的的設(shè)備以網(wǎng)閘的設(shè)備以網(wǎng)閘的

19、IP向前置機(jī)發(fā)向前置機(jī)發(fā)送送RESET報(bào)文報(bào)文在交互的過(guò)程中，前置機(jī)將發(fā)給網(wǎng)閘地址的確認(rèn)報(bào)文，封裝了一個(gè)非網(wǎng)閘的在交互的過(guò)程中，前置機(jī)將發(fā)給網(wǎng)閘地址的確認(rèn)報(bào)文，封裝了一個(gè)非網(wǎng)閘的MAC地地址址00:21:5E:82:AF:86 ，為什么會(huì)突然出現(xiàn)了這種改變呢？為什么會(huì)突然出現(xiàn)了這種改變呢？前置機(jī)封裝錯(cuò)誤目的前置機(jī)封裝錯(cuò)誤目的MAC的原因的原因Internet Address Physical Address Type X.X.16.73 00-21-5E-82-AF-86 dynamicTIPS：ARP表的更新表的更新實(shí)際環(huán)境中，只有同時(shí)滿足以下兩個(gè)條件時(shí)，設(shè)備的實(shí)際環(huán)境中，只有同時(shí)滿足以下兩

20、個(gè)條件時(shí)，設(shè)備的ARP表項(xiàng)才會(huì)更新：表項(xiàng)才會(huì)更新：1，設(shè)備收到來(lái)自某，設(shè)備收到來(lái)自某IP的的ARP請(qǐng)求包或免費(fèi)請(qǐng)求包或免費(fèi)ARP包；包；2，設(shè)備的現(xiàn)有，設(shè)備的現(xiàn)有ARP表項(xiàng)中已經(jīng)存在該表項(xiàng)中已經(jīng)存在該IP對(duì)應(yīng)的對(duì)應(yīng)的ARP表項(xiàng)。表項(xiàng)。其他的非其他的非ARP報(bào)文不會(huì)對(duì)設(shè)備的報(bào)文不會(huì)對(duì)設(shè)備的ARP表項(xiàng)產(chǎn)生影響。表項(xiàng)產(chǎn)生影響。一般而言，主機(jī)是根據(jù)其一般而言，主機(jī)是根據(jù)其ARP表項(xiàng)來(lái)封裝要發(fā)送的數(shù)據(jù)報(bào)文的目的表項(xiàng)來(lái)封裝要發(fā)送的數(shù)據(jù)報(bào)文的目的MAC地地址，那么，這里前置機(jī)發(fā)往網(wǎng)閘數(shù)據(jù)報(bào)文的目的址，那么，這里前置機(jī)發(fā)往網(wǎng)閘數(shù)據(jù)報(bào)文的目的MAC地址出現(xiàn)改變是否地址出現(xiàn)改變是否是因?yàn)榍爸脵C(jī)的是因?yàn)榍爸脵C(jī)的ARP表項(xiàng)內(nèi)容變化了呢？我們?cè)谇爸脵C(jī)的表項(xiàng)內(nèi)容變化了呢？我們?cè)谇爸脵C(jī)的DOS窗口下，窗口下，使使用用arp a命令查看異常時(shí)的命令查看異常時(shí)的arp表項(xiàng)內(nèi)容，發(fā)現(xiàn)網(wǎng)閘表項(xiàng)內(nèi)容，發(fā)現(xiàn)網(wǎng)閘IP對(duì)應(yīng)的對(duì)應(yīng)的MAC地址的地址的確變成了確變成了00:21:5E:82:AF:86。前置機(jī)前置機(jī)ARP表更新的原因表更新的原因我們?cè)诳苼?lái)網(wǎng)絡(luò)分析系統(tǒng)的我們?cè)诳苼?lái)網(wǎng)絡(luò)分析系統(tǒng)的“數(shù)據(jù)包數(shù)據(jù)包”視圖查看交互過(guò)程的所視圖查看交互過(guò)程的所有數(shù)據(jù)報(bào)文有數(shù)據(jù)報(bào)文 來(lái)自來(lái)自MAC地址為地址為00-21-5E-82-AF-86的的ARP響應(yīng)到達(dá)了前置響應(yīng)到達(dá)了