第三講 網(wǎng)絡(luò)監(jiān)測(cè)、診斷與數(shù)據(jù)捕獲 (1)

1、網(wǎng)絡(luò)測(cè)試的基本概念以科學(xué)的方法，通過測(cè)量手段或工具，取得網(wǎng)絡(luò)產(chǎn)品或正在運(yùn)行網(wǎng)絡(luò)的性能參數(shù)和服務(wù)質(zhì)量參數(shù)，這些參數(shù)能夠?yàn)榫W(wǎng)絡(luò)性能的改善提供依據(jù)，為網(wǎng)絡(luò)運(yùn)營(yíng)及管理提供指導(dǎo)，為網(wǎng)絡(luò)設(shè)備或產(chǎn)品研發(fā)提供支持。可用性、差錯(cuò)率、吞吐量、時(shí)延、丟包率、連接建立時(shí)間、故障檢測(cè)和修正時(shí)間網(wǎng)絡(luò)測(cè)試常用命令（Windows版）ping：在線連通性測(cè)試命令在TCP/IP網(wǎng)絡(luò)管理工具中，Ping是網(wǎng)絡(luò)管理員最常用的一個(gè)工具，我們經(jīng)常使用“Ping ”、“Ping ”、“Ping ”，而不常使用“Ping ”，那么這些命令分別有何種功能？ 某大型園區(qū)網(wǎng)，由若干路由器構(gòu)成其主干，有兩臺(tái)Windows 200

2、0主機(jī)無法通信，懷疑是其中某個(gè)路由器故障或配置錯(cuò)誤引起的，網(wǎng)絡(luò)管理員應(yīng)該用什么命令來找到這臺(tái)路由器？tracert：路由跟蹤探測(cè)命令網(wǎng)絡(luò)測(cè)試常用命令（Windows版）netstat：本機(jī)網(wǎng)絡(luò)狀態(tài)檢測(cè)命令為了分析一臺(tái)安裝了Windows Server 2003服務(wù)器的網(wǎng)絡(luò)流量，使用查看網(wǎng)絡(luò)狀態(tài)信息工具netstat。如果想每30秒統(tǒng)計(jì)一下TCP連接情況，請(qǐng)寫出完整的帶參數(shù)命令。ipconfig：本機(jī)IP配置狀態(tài)命令net：查看本地網(wǎng)絡(luò)計(jì)算機(jī)上的用戶列表、添加和刪除用戶、啟動(dòng)和停止網(wǎng)絡(luò)服務(wù)等網(wǎng)絡(luò)流量分析對(duì)在網(wǎng)絡(luò)中傳輸?shù)膶?shí)際數(shù)據(jù)流進(jìn)行分析，包括從底層的數(shù)據(jù)流到應(yīng)用層數(shù)據(jù)的分析。網(wǎng)絡(luò)流量分析是網(wǎng)絡(luò)分

3、析的子集。網(wǎng)絡(luò)流量分析的基礎(chǔ)是網(wǎng)絡(luò)協(xié)議分析。網(wǎng)絡(luò)流量分析具有累積性。案例I：某辦公自動(dòng)化OA的流量評(píng)估 從啟動(dòng)到登錄完成所從啟動(dòng)到登錄完成所產(chǎn)生的網(wǎng)絡(luò)流量產(chǎn)生的網(wǎng)絡(luò)流量（用（用sniffer pro分析分析 ）案例II：對(duì)視頻會(huì)議的應(yīng)用流量評(píng)估測(cè)試網(wǎng)絡(luò)性能的工具ntopWildpackets公司的omni peekWireShark端口掃描端口掃描技術(shù)是漏洞掃描技術(shù)的起源實(shí)質(zhì)：通過連接到系統(tǒng)的TCP或UDP端口，確定何種服務(wù)正在運(yùn)行你能列舉多少個(gè)已知端口的名稱？端口號(hào)端口號(hào)TCP/UDP名稱名稱20 21TCPftp-data ftp-control23TCPtelnet25TCPSMTP53

4、TCP, UDPDNS80TCPHTTP110TCPPOP3111TCP, UDPRPC443TCPHTTPSTCP協(xié)議和TCP掃描技術(shù)IP分組中的傳輸控制協(xié)議TCP數(shù)據(jù)段結(jié)構(gòu) 用三次握手建立 TCP 連接 SYN = 1, seq = xCLOSEDCLOSED主動(dòng)打開被動(dòng)打開AB客戶服務(wù)器5.9.1 TCP 的連接建立A 的 TCP 向 B 發(fā)出連接請(qǐng)求報(bào)文段，其首部中的同步位 SYN = 1，并選擇序號(hào) seq = x，表明傳送數(shù)據(jù)時(shí)的第一個(gè)數(shù)據(jù)字節(jié)的序號(hào)是 x。用三次握手建立 TCP 連接 SYN = 1, seq = xCLOSEDCLOSED主動(dòng)打開被動(dòng)打開AB客戶服務(wù)器5.9.1

5、 TCP 的連接建立SYN = 1, ACK = 1, seq = y, ack= x 1 B 的 TCP 收到連接請(qǐng)求報(bào)文段后，如同意，則 發(fā)回確認(rèn)。 B 在確認(rèn)報(bào)文段中應(yīng)使 SYN = 1，使 ACK = 1， 其確認(rèn)號(hào)ack = x 1，自己選擇的序號(hào) seq = y。SYN = 1, seq = xACK = 1, seq = x + 1, ack = y 1CLOSEDCLOSED主動(dòng)打開被動(dòng)打開AB客戶服務(wù)器SYN = 1, ACK = 1, seq = y, ack= x 1 A 收到此報(bào)文段后向 B 給出確認(rèn)，其 ACK = 1， 確認(rèn)號(hào) ack = y 1。 A 的 TCP

6、通知上層應(yīng)用進(jìn)程，連接已經(jīng)建立。 SYN = 1, seq = xACK = 1, seq = x + 1, ack = y 1CLOSEDCLOSED數(shù)據(jù)傳送主動(dòng)打開被動(dòng)打開AB客戶服務(wù)器SYN = 1, ACK = 1, seq = y, ack= x 1 B 的 TCP 收到主機(jī) A 的確認(rèn)后，也通知其上層 應(yīng)用進(jìn)程：TCP 連接已經(jīng)建立。SYN-SENTESTAB-LISHEDSYN-RCVDLISTENESTAB-LISHED用三次握手建立 TCP 連接的各狀態(tài) SYN = 1, seq = xACK = 1, seq = x + 1, ack = y 1CLOSEDCLOSED數(shù)據(jù)

7、傳送主動(dòng)打開被動(dòng)打開AB客戶服務(wù)器5.9.1 TCP 的連接建立SYN = 1, ACK = 1, seq = y, ack= x 1FIN = 1, seq = uCLOSED主動(dòng)關(guān)閉數(shù)據(jù)傳送ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器CLOSED5.9.2 TCP 的連接釋放 數(shù)據(jù)傳輸結(jié)束后，通信的雙方都可釋放連接。 現(xiàn)在 A 的應(yīng)用進(jìn)程先向其 TCP 發(fā)出連接釋放 報(bào)文段，并停止再發(fā)送數(shù)據(jù)，主動(dòng)關(guān)閉 TCP 連接。 A 把連接釋放報(bào)文段首部的 FIN = 1，其序號(hào) seq = u，等待 B 的確認(rèn)。FIN = 1, seq = uACK = 1, seq = v, a

8、ck= u 1主動(dòng)關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進(jìn)程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器5.9.2 TCP 的連接釋放 B 發(fā)出確認(rèn)，確認(rèn)號(hào) ack = u 1， 而這個(gè)報(bào)文段自己的序號(hào) seq = v。 TCP 服務(wù)器進(jìn)程通知高層應(yīng)用進(jìn)程。 從 A 到 B 這個(gè)方向的連接就釋放了，TCP 連接 處于半關(guān)閉狀態(tài)。B 若發(fā)送數(shù)據(jù)，A 仍要接收。FIN = 1, seq = uACK = 1, seq = v, ack= u 1FIN = 1, ACK = 1, seq = w, ack= u 1主動(dòng)關(guān)閉被動(dòng)關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進(jìn)程ESTAB-LISHEDESTAB-LISHEDA

9、B客戶服務(wù)器數(shù)據(jù)傳送5.9.2 TCP 的連接釋放 若 B 已經(jīng)沒有要向 A 發(fā)送的數(shù)據(jù)， 其應(yīng)用進(jìn)程就通知 TCP 釋放連接。 FIN = 1, seq = uACK = 1, seq = v, ack= u 1FIN = 1, ACK = 1, seq = w, ack= u 1主動(dòng)關(guān)閉被動(dòng)關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進(jìn)程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器數(shù)據(jù)傳送5.9.2 TCP 的連接釋放 A 收到連接釋放報(bào)文段后，必須發(fā)出確認(rèn)。 ACK = 1, seq = u + 1, ack = w 1FIN = 1, seq = uACK = 1, seq = v, ack

10、= u 1FIN = 1, ACK = 1, seq = w, ack= u 1主動(dòng)關(guān)閉被動(dòng)關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進(jìn)程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器數(shù)據(jù)傳送5.9.2 TCP 的連接釋放 在確認(rèn)報(bào)文段中 ACK = 1，確認(rèn)號(hào) ack w 1， 自己的序號(hào) seq = u + 1。 ACK = 1, seq = u + 1, ack = w 1CLOSEDACK = 1, seq = u + 1, ack = w 1FIN = 1, seq = uACK = 1, seq = v, ack= u 1FIN = 1, ACK = 1, seq = w, ack= u

11、 1FIN-WAIT-1CLOSE-WAITFIN-WAIT-2LAST-ACK等待 2MSLTIME-WAIT主動(dòng)關(guān)閉被動(dòng)關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進(jìn)程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器數(shù)據(jù)傳送CLOSED5.9.2 TCP 的連接釋放 TCP 連接必須經(jīng)過時(shí)間 2MSL 后才真正釋放掉。 TCP協(xié)議和TCP掃描技術(shù)TCPTCP協(xié)議的特點(diǎn)協(xié)議的特點(diǎn)關(guān)閉的端口對(duì)關(guān)閉的端口對(duì)SYNSYN包或包或FINFIN包回應(yīng)包回應(yīng)RSTRST（置（置“1 1”）ACKACK包到達(dá)一個(gè)包到達(dá)一個(gè)活動(dòng)活動(dòng)端口，該包被丟棄，同時(shí)端口，該包被丟棄，同時(shí)回應(yīng)一個(gè)回應(yīng)一個(gè)RSTRST包包SYNSY

12、N包到達(dá)一個(gè)活動(dòng)端口，正常三次握手，回包到達(dá)一個(gè)活動(dòng)端口，正常三次握手，回應(yīng)應(yīng)SYN/ACKSYN/ACK包包FINFIN包到達(dá)一個(gè)活動(dòng)端口，該包被丟棄包到達(dá)一個(gè)活動(dòng)端口，該包被丟棄無論端口狀態(tài)如何，對(duì)無論端口狀態(tài)如何，對(duì)RSTRST包都不回應(yīng)包都不回應(yīng)TCP協(xié)議和TCP掃描技術(shù)TCPTCP掃描掃描全全TCPTCP連接：連接：直接連接直接連接到目標(biāo)端口并完成到目標(biāo)端口并完成一個(gè)完整的三次握手，一個(gè)完整的三次握手，有什么缺陷？有什么缺陷？TCP SYNTCP SYN掃描（掃描（TCPTCP半連接掃描半連接掃描）如果掃描主機(jī)收到的如果掃描主機(jī)收到的TCPTCP報(bào)文中報(bào)文中RSTRST置置“1 1”，表示目標(biāo)主機(jī)該端，表示目標(biāo)主機(jī)該端口是口是“死端口死端口”，繼續(xù)探聽其他端口，加快了掃描速度，繼續(xù)探聽其他端口，加快了掃描速度如果掃描主機(jī)收到的如果掃描主機(jī)收到的TCPTCP報(bào)文中報(bào)文中SYNSYN和和ACKACK置置“1 1”，說明目標(biāo)端，說明目標(biāo)端口處于口處于ListeningListening狀態(tài)，接著掃描主機(jī)傳送一個(gè)狀態(tài)，接著掃描主機(jī)傳送一個(gè)RSTRST給目標(biāo)主機(jī)給目標(biāo)主機(jī)拒絕建立拒絕建立TCPTCP連接，從而導(dǎo)致三次握手失敗連接，從而導(dǎo)致三次握手失