数据包无法访问

网络故障诊断-利用TCP标记分析故障TCP标记简介TCP,全称TransferControlProtocol,中文名为传输控制协议;它工作在OSI的传输层,提供面向连接的可靠传输服务.
在TCP的报头中,有一个TCP标记字段,这个字段用来指出当前这个数据包的用途.
TCP连接标记字段长6比特,共有6种不同的标记,在一个TCP连接中可能会使用其中的多个标记.
这6种标记是:紧急(Urgent,简称URG):通知对方主机该TCP数据包中包含有紧急数据;确认(Acknowledgement,简称ACK):用来确认接收到对方主机的TCP数据包;急迫(Push,简称PSH):通知对方主机立即将该数据包送往上层协议;重置(Reset,简称RST):表示此TCP连接已被对方主机重新启动;同步(Synchronization,简称SYN):用来建立和对方主机的TCP连接;终止(Finish,简称FIN):用来关闭TCP连接.
不同数据包中的TCP标记可能相同,也可能不同,通过数据包的解码,可以知道当前数据包正在进行的操作及其作用.
如TCP三次握手的第一步会将同步位置为1;第二步会同时将确认位和同步位置为1;第三步会将确认位置为1.
根据TCP标记的特性,我们可以利用它分析网络中常见的网络应用故障.

利用TCP标记分析网络故障当遇到目标主机的某TCP服务不能访问时,我们可以通过对其访问的过程进行抓包分析,从而找出不能访问的原因,下面我们用科来网络分析系统5.
0,以分析Telnet为例说明分析的方法.
图1是在Windows客户端(客户端主机名为wangym)上使用Telnet命令访问其他主机的情况.
从图1的返回结果可知,两台主机的Telnet服务都不能正常访问,但我们无法确定不能访问的原因,是因为网络不通,还是这台主机没有提供Telnet服务.

(图1WINDOWS客户端使用Telnet命令图示)注意:这里使用的Telnet命令是在假定目标服务器使用默认的端口配置,即Telnet服务器端口是TCP23;可能有些用户想到使用Ping命令测试网络的连通性,但由于承载Ping命令的ICMP协议可以导致一些非法攻击,对网络的安全会造成一定的威胁,使得某些ISP厂商或者网络管理员都在他们的三层设备处禁用了ICMP协议的转发.
在这种情况下,使用Ping命令便无法准确测试主机的连通性.

图2是在WINDOWS客户端使用Telnet命令访问192.
168.
2.
10主机时,科来网络分析系统5.
0捕获到的数据包信息.
(图2Telnet访问192.
168.
2.
10的原始数据包)从图2可知,使用Telnet命令访问192.
168.
2.
10主机时,两主机间共有三个数据包通信,仔细查看数据包及其解码,发现三个数据包都是从客户端发往192.
168.
2.
10主机的,三个数据包的确认号都是0,且都将TCP标记中的同步位置1,表明三个数据包都是TCP三次握手的第一步,即TCP同步数据包.
没有从192.
168.
2.
10发往客户端的数据包,说明此时客户端与192.
168.
2.
10主机在物理链路上不通,可能是网络中没有IP地址为192.
168.
2.
10这台机器,或者这台机器没有开机.

图3是在WINDOWS客户端使用Telnet命令访问192.
168.
2.
100主机时,科来网络分析系统5.
0捕获到的数据包信息.
(图3Telnet访问192.
168.
2.
100的原始数据包)从图3可知,使用Telnet命令访问192.
168.
2.
100主机时,两主机间共有6个数据包通信,仔细查看数据包及其解码,发现1,3,5这三个数据包是从客户端发往192.
168.
2.
100主机的,这三个数据包的确认号是0,TCP标记是同步位置1,表明三个数据包都是TCP三次握手的第一步,即TCP同步数据包.
2,4,6这三个数据包是从192.
168.
2.
100主机发往客户端的,这三个数据包的确认号是确认号1589766797,TCP标记是确认位和重置位同时置1,表示这三个数据包都是192.
168.
2.
100对客户端的确认数据包,同时它拒绝了客户端的建立连接的TCP同步请求,告诉客户端当前主机(这里是192.
168.
2.
100)没有打开客户端请求的服务,并中断这个连接.