網絡抓包及分析培訓

1、為什么要學習抓包和協(xié)議分析協(xié)議分析工具 進行網絡管理和網絡安全管理，不僅要從宏觀上管理網絡的性能，還要從微觀上分析數據包的內容，這樣才能確保網絡安全并且正常地運行。 使用協(xié)議分析工具的目的，就是為了捕獲網絡中傳輸的數據包并對數據包中的比特進行統(tǒng)計和分析。 宏觀上，可以進行統(tǒng)計以確定網絡性能的基線。微觀上，可以從數據包分析中了解協(xié)議的實現情況、是否存在網絡攻擊行為等，為制定安全策略及進行安全審計提供直接的依據。 如果黑客在網絡當中使用協(xié)議分析工具，就是一種消極的安全攻擊。 1、故障分析定位 2、網絡質量評估 3、入侵協(xié)議分層從網絡協(xié)議說起協(xié)議分層協(xié)議體系TCP/IP模型各層的功能 協(xié)議分析器概述

2、 協(xié)議分析器就是捕獲網絡數據包進行協(xié)議分析的工具。從廣義上可以分為局域網分析器和廣域網分析器，也有的分析器既可以用于局域網又可以用于廣域網。 廣域網分析器用以捕獲分析PPP、幀中繼、ATM和其他鏈路上的數據，它采用特殊的接口卡來讀取從廣域網上下載的數據幀。廣域網分析器通常用一個“Y”形接頭連接到廣域網以便于捕獲流經的數據流。 局域網分析器用來捕獲和顯示來自局域網的信息數據，這些局域網包括以太網、令牌環(huán)網和光纖分布式數據接口（FDDI）等。局域網分析器是通過集線器或者交換機連接到局域網網段上的。將局域網分析器連接到交換機時，需要進行一些特殊的考慮。一般情況下，分析器只能捕獲經過它所連接的端口的所

3、有數據。某些交換機可以配置監(jiān)視端口，把分析器接入到監(jiān)視端口就可以捕獲監(jiān)視流經所有端口的數據。 常見的網絡分析器產品有：Network Associates公司的Sniffer、NetXray公司的Sniffer Basic，科來協(xié)議分析、allot。 Sniffer公司目前主推硬件分析 還有免費的Ethereal、Wireshark（原Ethereal作者自行開發(fā)的）協(xié)議分析器等。 另外，Windows中自己帶的網絡監(jiān)視器也可以抓取數據包進行協(xié)議分析。 LINNUX中帶的TCPDUMP也可以抓取數據包進行協(xié)議分析。協(xié)議分析器的特點 捕獲數據包 進行協(xié)議分析的前提是要有捕獲的數據包，協(xié)議分析器可

4、以捕獲所有流經其所控制的媒體的數據。高端的協(xié)議分析器還可以制定捕獲的計劃和觸發(fā)條件。 數據包統(tǒng)計 協(xié)議分析器可以對捕獲到的數據包進行統(tǒng)計和分析，根據時間、協(xié)議類型和錯誤率等進行分析，甚至可以打印出各種直觀的圖表和報表。 過濾數據 大量的數據包的捕獲會消耗太多的系統(tǒng)資源，性能很低。協(xié)議分析器可以設置過濾，只捕獲滿足特定條件的數據包。根據大量捕獲結果排錯的時候，也需要能過濾無關的大量數據包，把最有用的數據包找出來。協(xié)議分析器往往有強大的過濾功能。 數據包解碼 捕獲的數據包的內容就是0/1的比特流，協(xié)議分析器可以對這些比特流解碼，識別哪些部分是封裝的頭部信息，哪些是有效凈載荷。網絡通信協(xié)議非常多，好

5、的協(xié)議分析器能對各種協(xié)議數據包解碼。 讀取其他協(xié)議分析器的數據包格式 大部分協(xié)議分析器可以讀取顯示其他協(xié)議分析器捕獲的數據包文件。作為嗅探器的協(xié)議分析器 黑客使用協(xié)議分析器的時候，它就成了一種黑客工具，我們可以稱之為嗅探器。 嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實的網絡報文。嗅探器工作在網絡環(huán)境中的底層，它會攔截所有的正在網絡上傳送的數據，并且通過相應的軟件處理，可以實時分析這些數據的內容，進而分析所處的網絡狀態(tài)和整體布局。嗅探是一種安靜的、消極的安全攻擊。 常見的危害有： 捕獲口令 這大概是絕大多數非法使用嗅探器的理由，嗅探器可以記錄明文傳送的

6、用戶名和密碼。 捕獲專用的或者機密的信息，比如金融賬號 許多用戶很放心在網上使用自己的信用卡或現金賬號，然而嗅探器可以很輕松地截獲在網上傳送的用戶姓名、口令、信用卡號碼、截止日期、賬號和PIN。比如偷窺機密或敏感的信息數據，通過攔截數據包，入侵者可以很方便地記錄別人之間敏感的信息傳送，或者干脆攔截整個的E-mail會話過程。 可以用來危害網絡鄰居的安全，或者用來獲取更高級別的訪問權限 窺探低層的協(xié)議信息 抓包接入 共享網絡 - 通過Hub連接上網 使用集線器（Hub）作為網絡中心交換設備的網絡即為共享式網絡，集線器（Hub）以共享模式工作在OSI層次的物理層。如果您局域網的中心交換設備是集線器

7、（Hub），可將科來網絡分析系統(tǒng)可安裝在局域網中任意一臺主機上，此時科來網絡分析系統(tǒng)可以捕獲整個網絡中所有的數據通訊。 抓包接入 交換式網絡 - 交換機具備管理功能（端口鏡像） 使用交換機（Switch）作為網絡的中心交換設備的網絡即為交換式網絡。交換機（Switch）工作在OSI模型的數據鏈接層，交換機各端口之間能有效地分隔沖突域，由交換機連接的網絡會將整個網絡分隔成很多小的網域。 大多數三層或三層以上交換機以及一部分二層交換機都具備端口鏡像功能，當您網絡中的交換機具備此功能時，可在交換機上配置好端口鏡像（關于交換機鏡像端口），再將科來網絡分析系統(tǒng)可安裝在連接鏡像端口的主機上方式 抓包接入

8、交換式網絡 - 交換機具備管理功能（端口鏡像） 使用交換機（Switch）作為網絡的中心交換設備的網絡即為交換式網絡。交換機（Switch）工作在OSI模型的數據鏈接層，交換機各端口之間能有效地分隔沖突域，由交換機連接的網絡會將整個網絡分隔成很多小的網域。 大多數三層或三層以上交換機以及一部分二層交換機都具備端口鏡像功能，當您網絡中的交換機具備此功能時，可在交換機上配置好端口鏡像（關于交換機鏡像端口），再將科來網絡分析系統(tǒng)可安裝在連接鏡像端口的主機上方式 抓包接入 交換式網絡 - 交換機不具備管理功能（無端口鏡像） 一般簡易型的交換機不具備管理功能，不能通過端口鏡像來實現網絡的監(jiān)控分析。如果您

9、的中心交換或網段的交換沒有端口鏡像功能，一般可采取串接集線器（Hub）或分接器（Tap）的方法進行部署。如圖所示： 使用網絡分接器(Taps) 使用Tap時，成本較高，需要安裝雙網卡，并且在管理機器不能上網，如果要上網，需要再安裝另外的網卡。 用用集線器(Hub) Hub成本低，但網絡流量大時，性能不高，Tap即使在網絡流量高時，也對網絡性能不會造成任何影響， 接入方式對比常見的協(xié)議分析工具 主要功能如下： 為網絡協(xié)議分析捕獲網絡數據包 分析診斷網絡故障 實時監(jiān)控網絡的活動情況 收集單個工作站、會話、或者網絡中的任何一部分的詳細的網絡利用情況和錯誤統(tǒng)計； 保存網絡情況的歷史記錄和錯誤信息，建立

10、基線 當檢測到網絡故障的時候，生成直觀的實時警報并通知網絡管理員 模擬網絡數據來探測網絡，衡量響應時間，路由跳數計數，排錯 Microsoft Network Monitor Windows中自帶的組件網絡監(jiān)視器Network Monitor，其工作原理類似于其他協(xié)議。Network Monitor可以捕獲所有經過指定的網絡接口的數據包，并進行協(xié)議分析。使用網絡監(jiān)視器，可以發(fā)現網絡通信模式和網絡問題。例如，可以定位客戶端到服務器的連接問題，發(fā)現工作請求數目不成比例的計算機，以及發(fā)現網絡上未經授權的用戶。系統(tǒng)自帶也可以下載：http:/ 這是個小巧的協(xié)議分析器，包含了對許多常用協(xié)議的分析解碼功能

11、。Ethereal也可以設置過濾器，以便于把真正用戶關心的數據捕獲并顯示出來。 已不用了！WireShark簡介 Wireshark是世界上最流行的網絡分析工具。這個強大的工具是世界上最流行的網絡分析工具。這個強大的工具可以捕捉網絡中的數據，并為用戶提供關于網絡和上層協(xié)議可以捕捉網絡中的數據，并為用戶提供關于網絡和上層協(xié)議的各種信息。與很多其他網絡工具一樣，的各種信息。與很多其他網絡工具一樣，Wireshark也使用也使用pcap network library來進行封包捕捉。來進行封包捕捉。wireshark的原名是的原名是Ethereal，新名字是，新名字是2006年起用的。當時年起用的。

12、當時Ethereal的主要開發(fā)的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個軟件。但由者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個軟件。但由于于Ethereal這個名稱的使用權已經被原來那個公司注冊，這個名稱的使用權已經被原來那個公司注冊，Wireshark這個新名字也就應運而生了。這個新名字也就應運而生了。 官方網站：官方網站：/3. DISPLAY FILTER（顯示過濾器） 顯示過濾器用于查找捕捉記錄中的內容。請不要將捕捉過濾器和顯示過濾器的概念相混淆。請參考Wireshark過濾器中的詳細內容。 4. PACKET LIST PANE（

13、封包列表） 封包列表中顯示所有已經捕獲的封包。在這里您可以看到發(fā)送或接收封包列表中顯示所有已經捕獲的封包。在這里您可以看到發(fā)送或接收方的方的MAC/IP地址，地址，TCP/UDP端口號，協(xié)議或者封包的內容。端口號，協(xié)議或者封包的內容。 如果捕獲的是一個如果捕獲的是一個OSI layer 2的封包，您在的封包，您在Source（來源）和（來源）和Destination（目的地）列中看到的將是（目的地）列中看到的將是MAC地址，當然，此時地址，當然，此時Port（端口）列將會為空。（端口）列將會為空。 如果捕獲的是一個如果捕獲的是一個OSI layer 3或者更高層的封包，您在或者更高層的封包，您

14、在Source（來源）（來源）和和Destination（目的地）列中看到的將是（目的地）列中看到的將是IP地址。地址。Port（端口）列僅會（端口）列僅會在這個封包屬于第在這個封包屬于第4或者更高層時才會顯示?；蛘吒邔訒r才會顯示。 您可以在這里添加您可以在這里添加/刪除列或者改變各列的顏色：刪除列或者改變各列的顏色：Edit menu - Preferences PACKET DETAILS PANE（封包詳細信息） 這里顯示的是在封包列表中被選中項目的詳細信息。信息按這里顯示的是在封包列表中被選中項目的詳細信息。信息按照不同的照不同的OSI layer進行了分組，您可以展開每個項目查看。

15、進行了分組，您可以展開每個項目查看。下面截圖中展開的是下面截圖中展開的是HTTP信息。信息。6. DISSECTOR PANE（16進制數據） “解析器解析器”在在Wireshark中也被叫做中也被叫做“16進制數據查看面板進制數據查看面板”。這。這里顯示的內容與里顯示的內容與“封包詳細信息封包詳細信息”中相同，只是改為以中相同，只是改為以16進制進制的格式表述。的格式表述。在上面的例子里，我們在在上面的例子里，我們在“封包詳細信息封包詳細信息”中選擇查看中選擇查看TCP端口端口（80），其對應的），其對應的16進制數據將自動顯示在下面的面板中進制數據將自動顯示在下面的面板中（0050）。）。

16、MISCELLANOUS（雜項） 在程序的最下端，您可以獲得如下信息：在程序的最下端，您可以獲得如下信息：- 正在進行捕捉的網絡設備。正在進行捕捉的網絡設備。- 捕捉是否已經開始或已經停止。捕捉是否已經開始或已經停止。- 捕捉結果的保存位置。捕捉結果的保存位置。- 已捕捉的數據量。已捕捉的數據量。- 已捕捉封包的數量。已捕捉封包的數量。(P)- 顯示的封包數量。顯示的封包數量。(D) (經過顯示過濾器過濾后仍然顯示的封經過顯示過濾器過濾后仍然顯示的封包包)- 被標記的封包數量。被標記的封包數量。(M) 非混雜模式及混雜模式下抓包 非混雜模式指：WireShark只抓取指定網卡上的發(fā)出與接收的數

17、據包，與指定網卡無關的數據包將被忽略。 混雜模式指： WireShark能夠抓取主機所在局域網內的全部網絡包，即接收所有經過網卡的數據包，包括不是發(fā)給本機的包。過濾器 捕捉過濾器（捕捉過濾器（CaptureFilters）：用于決定將什么樣的信息記）：用于決定將什么樣的信息記錄在捕捉結果中。需要在開始捕捉前設置。錄在捕捉結果中。需要在開始捕捉前設置。顯示過濾器（顯示過濾器（DisplayFilters）：在捕捉結果中進行詳細查找。）：在捕捉結果中進行詳細查找。他們可以在得到捕捉結果后隨意修改。他們可以在得到捕捉結果后隨意修改。那么我應該使用哪一種過濾器呢？那么我應該使用哪一種過濾器呢？ 兩種過

18、濾器的目的是不同的。兩種過濾器的目的是不同的。捕捉過濾器是數據經過的第一層過濾器，它用于控制捕捉數捕捉過濾器是數據經過的第一層過濾器，它用于控制捕捉數據的數量，以避免產生過大的日志文件。據的數量，以避免產生過大的日志文件。顯示過濾器是一種更為強大（復雜）的過濾器。它允許您在顯示過濾器是一種更為強大（復雜）的過濾器。它允許您在日志文件中迅速準確地找到所需要的記錄。日志文件中迅速準確地找到所需要的記錄。 兩種過濾器使用的語法是完全不同的。兩種過濾器使用的語法是完全不同的。1. 捕捉過濾器 捕捉過濾器的語法與其它使用捕捉過濾器的語法與其它使用Lipcap（Linux）或者）或者Winpcap（Win

19、dows）庫開發(fā)的軟件一樣，比如著名的）庫開發(fā)的軟件一樣，比如著名的TCPdump。捕。捕捉過濾器必須在開始捕捉前設置完畢，這一點跟顯示過濾器捉過濾器必須在開始捕捉前設置完畢，這一點跟顯示過濾器是不同的。是不同的。 設置捕捉過濾器的步驟是：設置捕捉過濾器的步驟是： 選擇選擇 capture - options。 填寫填寫“capture filter”欄或者點擊欄或者點擊“capture filter”按鈕為您的過濾器起按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉一個名字并保存，以便在今后的捕捉中繼續(xù)使用這個過濾器。中繼續(xù)使用這個過濾器。 點擊開始（點擊開始（Start）進行捕捉。）進行

20、捕捉。捕捉過濾器語法 Protocol（協(xié)議）（協(xié)議）:可能的值可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒有特別指明是什么協(xié)議，則默認使用所有支持的協(xié)議。如果沒有特別指明是什么協(xié)議，則默認使用所有支持的協(xié)議。 Direction（方向）（方向）:可能的值可能的值: src, dst, src and dst, src or dst如果沒有特別指明來源或目的地，則默認使用如果沒有特別指明來源或目的地，則默認使用 “src or dst” 作為關作為關鍵字。鍵字。例如，例如，“h

21、ost ”與與“src or dst host ”是一樣的。是一樣的。語法語法 Protocol Direction Host(s) ValueLogical OperationsOther expression_r例子例子tcpdst80andtcp dst 3128捕捉過濾器語法 Host(s):可能的值： net, port, host, portrange.如果沒有指定此值，則默認使用“host”關鍵字。例如，“src ”與“src host ”相同。 Logical Operations

22、（邏輯運算）（邏輯運算）:可能的值：not, and, or.否(not)具有最高的優(yōu)先級?；?or)和與(and)具有相同的優(yōu)先級，運算時從左至右進行。例如，not tcp port 3128 and tcp port 23與(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23與not (tcp port 3128 and tcp port 23)不同。捕捉過濾器語法舉例 tcp dst port 3128 顯示目的TCP端口為3128的封包。 ip src host 顯示來源IP地址

23、為的封包。 host 顯示目的或來源IP地址為的封包。 src portrange 2000-2500 顯示來源為UDP或TCP，并且端口號在2000至2500范圍內的封包。捕捉過濾器語法舉例 not imcp 顯示除了icmp以外的所有封包。（icmp通常被ping工具使用） src host 2 and not dst net /16 顯示來源IP地址為2，但目的地不是/16的封包。 (src host 2 or src net /16)

24、 and tcp dst portrange 200-10000 and dst net /8 顯示來源IP為2或者來源網絡為/16，目的地TCP端口號在200至10000之間，并且目的位于網絡/8內的所有封包。注意事項 當使用關鍵字作為值時，需使用反斜杠“”?！癳ther proto ip” (與關鍵字“ip”相同).這樣寫將會以IP協(xié)議作為目標。 “ip proto icmp” (與關鍵字“icmp”相同).這樣寫將會以ping工具常用的icmp作為目標。 可以在“ip”或“ether”后面使用“multicast”及“bro

25、adcast”關鍵字。 當您想排除廣播請求時，no broadcast就會非常有用。 2. 顯示過濾器 通常經過捕捉過濾器過濾后的數據還是很復雜。此時您可以使用顯示過濾器進行更加細致的查找。它的功能比捕捉過濾器更為強大，而且在您想修改過濾器條件時，并不需要重新捕捉一次。 顯示過濾器語法 Protocol（協(xié)議） 您可以使用大量位于OSI模型第2至7層的協(xié)議。點擊“Expression.”按鈕后，您可以看到它們。 比如：IP，TCP，DNS，SSH語法語法Protocol String 1 String 2ComparisonoperatorValueLogicalOperationsOther

26、expression_r例子例子ftppassiveip=xoricmp.type顯示過濾器語法 您同樣可以在如下所示位置找到所支持的協(xié)議： 顯示過濾器語法 String1, String2 (可選項) 協(xié)議的子類。 點擊相關父類旁的+號，然后選擇其子類。 顯示過濾器語法 Comparison operators （比較運算符） 可以使用6種比較運算符：英文寫法： C語言寫法： 含義：eq = 等于ne!=不等于gt大于lt=大于等于le=小于等于顯示過濾器語法 Logical expression_rs（邏輯運算符）（邏輯運算符） 被程序員們熟知的邏輯異或是一種排除性的或。當

27、其被用在過濾器的兩個條件之間時，只有當且僅當其中的一個條件滿足時，這樣的結果才會被顯示在屏幕上。讓我們舉個例子：tcp.dstport 80 xor tcp.dstport 1025只有當目的TCP端口為80或者來源于端口1025（但又不能同時滿足這兩點）時，這樣的封包才會被顯示。英文寫法： C語言寫法： 含義：and&邏輯與or|邏輯或xor邏輯異或not!邏輯非顯示過濾器語法舉例 snmp | dns | icmp 顯示顯示SNMP或或DNS或或ICMP封包。封包。 ip.addr = 顯示來源或目的顯示來源或目的IP地址為地址為的封包。的封包。

28、ip.src != or ip.dst != 顯示來源不為顯示來源不為或者目的不為或者目的不為的封包。的封包。換句話說，顯示的封包將會為：換句話說，顯示的封包將會為：來源來源IP：除了：除了以外任意；目的以外任意；目的IP：任意：任意以及來源以及來源IP：任意；目的：任意；目的IP：除了：除了以外任意以外任意 ip.src != and ip.dst != 顯示來源不為顯示來源不為并且目的并且目的IP不為不為的封包。的封包。換句

29、話說，顯示的封包將會為：換句話說，顯示的封包將會為：來源來源IP：除了：除了以外任意；同時須滿足，目的以外任意；同時須滿足，目的IP：除了：除了以外任意以外任意顯示過濾器語法舉例 tcp.port = 25 顯示來源或目的TCP端口號為25的封包。 tcp.dstport = 25 顯示目的TCP端口號為25的封包。 tcp.flags 顯示包含TCP標志的封包。 tcp.flags.syn = 0 x02 顯示包含TCP SYN標志的封包。如果過濾器的語法是正確的，表達式的背景呈綠色。如果呈紅色，說明表達式有誤。 表達式正確表達式錯誤表達式正確表達式正確表達式

30、錯誤表達式錯誤網絡常見的ARP攻擊安全問題定位攻擊者收發(fā)比異常快速定位各種arp 攻擊 出現網絡故障，只要能快速定位診斷，就可以最快速的解決問題，減少損失。 網絡通訊分析通過對底層數據包的診斷，能最有效的找出問題的所在。 特點： 快速定位故障點 自動發(fā)現并提取問題 智能的專家建議，提供故障原因、可解決的辦法等按照網絡層次分類自動診斷發(fā)生地址根據不同類型級別顯示故障事件的詳細描述提供48種以上網絡故障診斷并且為每個故障提供閾值修改每個故障發(fā)生的原因發(fā)生沖突的兩個MAC事件的詳細描述提高網絡性能，才可以合理的利用網絡資源。性能分析有助于實現資源的合理分配；為規(guī)劃和調整網絡提供準確依據。特點：提供精

31、確的性能分析數據，微秒級的數據響應時間、時間差、相對時間等；各種協(xié)議的詳細統(tǒng)計深入到每個節(jié)點數據的分析每個應用的會話情況微秒級定位時間4百多種協(xié)議的詳細解碼分析某IP的概要統(tǒng)計HTTP應用的連接情況可以讓管理者了解每個端點、會話的通訊情況查看通訊數據，迅速定位異常端點和會話特點：多達22種端點統(tǒng)計參數端點與會話的完美組合TCP會話的時序圖呈現可視化的連接矩陣圖DNS/Email/FTP/HTTP日志分析持續(xù)時間最長的會話主機占用帶寬最大的通訊IP端點會話統(tǒng)計TCP標志、負載可查看日志的詳細信息，并支持保存功能提供精確的流量分析數據，才可以使您解決廣播風暴、網絡阻塞、帶寬非法占用、網絡濫用等問題

32、。特點：提供非常豐富的數據，42種以上的流量統(tǒng)計數據豐富的實時監(jiān)控圖提供每個主機的各種流量綁定IP與MAC流量對應關系統(tǒng)計內網流量、廣播/組播流量、私有流量可根據協(xié)議、物理、IP進行瀏覽這是所有TCP會話的IP發(fā)送的流量接收的流量協(xié)議、重傳及亂序等右擊顯示更多參數總流量的歷史變化TCP會話的建立情況利用率的實時監(jiān)控SYN 個數的統(tǒng)計各種流量分析只有深入到協(xié)議，挖掘到數據包內容才能真正掌握整個網絡通過數據包重組數據流，可以重現網絡通信內容特點： 支持四百多種協(xié)議的解碼 對整個數據包內容結構的呈現 對數據流重組樹狀呈現各層協(xié)議各層報頭十六進制顯示ASCII編碼顯示會話節(jié)點會話的數據流TCPDUMP

33、 命令參數-i: 指定網卡;-n:以數值方式顯示網絡地址及端口號;-s:snapshot長度，通常指定為0，即不做限制;-X:以16進制方式顯示網絡包的內容;-w:輸出到文件port n:指定監(jiān)聽的端口號n，如果不指定則監(jiān)聽所有端口;dst host:指定發(fā)送包的目的主機;src host:指定發(fā)送包的源主機;TCPDUMP tcpdump -ni eth0 -s 0 -X port 8080 and dst tcpdump -n -s 0 -w /sdcard/dopool.pcapTCPDUMP Android下的操作步驟 root手機 下載tcpdump執(zhí)行文件

34、 adb remount adb push D:tcpdump /system/xbin/tcpdump adb shell chmod 777 /system/xbin/tcpdump adb shell tcpdump -n -s 0 -w /sdcard/dopool.pcap adb pull /sdcard/dopool.pcap D:1.pcappingping大包丟包故障大包丟包故障 故障環(huán)境 故障現象 故障分析 故障解決 技巧小結故障環(huán)境說明：1、辦公機器都屬于/24網段；2、辦公機器通過一個二層的接入交換機、光電轉換器接入集團核心交換機。連接拓撲： 故障

35、現象 Ping大包丟包嚴重 ping小包正常 前期使用單機ping大包未出現丟包現象故障前期簡單分析 鏈路測試、策略檢查均無異常，該故障非一般連通性故障 此類丟包問題，主要是需要定位出丟包的位置 可能故障點主要有：故障分析-分析方法 數據包分析法數據包分析法l對比分析法 在此次的故障解決過程中，我們主要使用對比分析法分析出將大數據包丟棄的中間設備或鏈路。主要通過專有的網絡分析工具（科來網絡分析系統(tǒng)）將故障時相應的數據包捕獲下來進行深度分析，并通過分析發(fā)現相應的異常，從而定位故障原因的方法 主要指通過對網絡中傳輸的數據包的對比，分析出數據包在傳輸過程中各個中間設備對數據包的相應處理過程，包括更改

36、、丟棄和轉發(fā)等 故障分析過程-選取抓包故障點 在實際的分析過程中，我們需要考慮到抓包的方便性和相應中間設備的功能特性選取數據包捕獲點 在這個故障環(huán)境下，我們主要選在接入交換機與核心交換機上抓取數據包故障分析過程-重現故障 在測試機器6上使用如下命令測試網絡的大包傳輸情況：ping -l 10000 t 。 我們可以簡單計算一下ping10000字節(jié)的大包在以太網中會被分成多少個分片：PING產生的產生的IP負載負載=10000(ping負載）+8（icmp頭長度）一個以太網一個以太網IP包的最大有效負載包的最大有效負載=1500（以太網MTU)-20（

37、IP包頭長度）=1480B 產生IP分片數的計算方式為： 10008/1480=6余1128，即一個1500B的icmp報文，5個1500B的ip分片包，1個1148B的ip分片包通過該測試命令重現了故障現象：大文件傳輸丟包情況較為嚴重。故障分析過程-抓包 我們分別在核心交換機6509、接入交換機上做端口鏡像（端口鏡像的詳細命令和過程在此不再描述），將其相應鏈路的數據包鏡像到我們選取的監(jiān)聽口，我們再通過科來網絡分析系統(tǒng)捕獲相應的數據包 故障分析過程-對比分析1.分析接入交換機上抓取的數據包1個1500字節(jié)icmp包5個1500字節(jié)ip分片包1個1148字節(jié)ip分片包接入交換機數據包分析結論lP

38、ing超時的原因為中間某個大包在傳輸的過程中 被丟棄了，導致接收端重組超時l接入交換機轉發(fā)了所有的分片包，即某個分片包不 是在接入交換機上丟棄的1個1500字節(jié)icmp包4個1500字節(jié)ip分片包故障分析過程-對比分析2.分析核心交換機6509上抓取的數據包1個1148字節(jié)ip分片包結論：這個被丟棄的某個分片在到達核心交換機6509前就被丟棄對比分析結果根據前面的對比分析，結合拓撲結構，我們可以知道，某個分片包是在接入交交換機轉發(fā)之后、核心交換機6509接收之前被丟棄的，那么可能被丟棄的位置只剩下光電轉換器了！在線視頻不定時異常中斷 故障環(huán)境 故障現象 故障分析 故障解決 技巧小結故障環(huán)境故障

39、拓撲：說明：1.VOD在線視頻是通過web頁面觀看的，通訊流全部使用HTTP的80端口傳輸數據2.客戶端與服務器是純路由環(huán)境下完成數據交互的故障現象 客戶端通過瀏覽器在線觀看VOD視頻時，不定時（有時幾分鐘、有時十幾分鐘，沒有規(guī)律）的出現中斷情況。 使用ping命令長時間測試VOD服務器的連通性，一直正常。 異常時，VOD服務器的web頁面訪問正常前期簡單分析 Ping命令測試正常，說明不存在連通性問題 不定時出現、無規(guī)律性說明應該不是策略（時間控制等）原因導致的 其他應用未反應異常通過簡單分析，沒有什么明顯的突破口，此類故障應屬于較高層次的故障，只能借助科來抓包分析來找突破口了客戶端抓包分析

40、可能原因首先在客戶端在線視頻時，開啟科來抓包，在故障出現后停止抓包，并分析故障時間段的數據包，看能否找到一些突破口。一般而言，這種應用都是服務器向客戶端傳輸數據，而客戶端僅對服務器端發(fā)送確認即可，這種確認不包含任何的數據，其大小在填充完后只有64B而在故障發(fā)生時，我們竟然發(fā)現了客戶端向服務器發(fā)送的大小為70B的ackTCP選項字段導致的70B的ackTCP選項解碼1.選項字段解碼，顯示為客戶端使用的為SACK選項，其左右邊邊界都已表示出2.科來抓包顯示客戶端多次向服務器發(fā)送帶SACK選項的ACK包3.通過科來解碼，顯示SACK左左邊界內容一致4.顯示客戶端沒有收到來自服務器的某個數據段服務器端

41、抓包確認問題原因1.查看服務器端是否收到客戶端的帶有SACK選項的ACK報文2.查看服務器端是否重傳了客戶端未收到的數據段3.通過查看服務器給客戶端傳輸數據的次序與序列號，我們可以看出服務器重傳了客戶端未收到的數據包可能故障點可能故障點通過前面的深入分析，我們可以知道，客戶端由于沒有收到某段來自服務器的數據，導致了在線電影視頻的異常中斷，但是客戶端向服務器端發(fā)送看帶有SACK選項的ACK報文，告知服務器端重傳其未收到的數據段，服務器端收到了這個重傳信息，也重傳了客戶端要求的數據段，但客戶端還是未收到，可見，該故障與端系統(tǒng)無關，是中間系統(tǒng)導致的，接下來明確中間系統(tǒng)可能故障點：由于交換機丟棄數據包的可能性極小，因此