第三講 網(wǎng)絡(luò)監(jiān)測、診斷與數(shù)據(jù)捕獲 (1)

1、網(wǎng)絡(luò)測試的基本概念以科學(xué)的方法，通過測量手段或工具，取得網(wǎng)絡(luò)產(chǎn)品或正在運行網(wǎng)絡(luò)的性能參數(shù)和服務(wù)質(zhì)量參數(shù)，這些參數(shù)能夠為網(wǎng)絡(luò)性能的改善提供依據(jù)，為網(wǎng)絡(luò)運營及管理提供指導(dǎo)，為網(wǎng)絡(luò)設(shè)備或產(chǎn)品研發(fā)提供支持?？捎眯浴⒉铄e率、吞吐量、時延、丟包率、連接建立時間、故障檢測和修正時間網(wǎng)絡(luò)測試常用命令（Windows版）ping：在線連通性測試命令在TCP/IP網(wǎng)絡(luò)管理工具中，Ping是網(wǎng)絡(luò)管理員最常用的一個工具，我們經(jīng)常使用“Ping ”、“Ping ”、“Ping ”，而不常使用“Ping ”，那么這些命令分別有何種功能？ 某大型園區(qū)網(wǎng)，由若干路由器構(gòu)成其主干，有兩臺Windows 200

2、0主機無法通信，懷疑是其中某個路由器故障或配置錯誤引起的，網(wǎng)絡(luò)管理員應(yīng)該用什么命令來找到這臺路由器？tracert：路由跟蹤探測命令網(wǎng)絡(luò)測試常用命令（Windows版）netstat：本機網(wǎng)絡(luò)狀態(tài)檢測命令為了分析一臺安裝了Windows Server 2003服務(wù)器的網(wǎng)絡(luò)流量，使用查看網(wǎng)絡(luò)狀態(tài)信息工具netstat。如果想每30秒統(tǒng)計一下TCP連接情況，請寫出完整的帶參數(shù)命令。ipconfig：本機IP配置狀態(tài)命令net：查看本地網(wǎng)絡(luò)計算機上的用戶列表、添加和刪除用戶、啟動和停止網(wǎng)絡(luò)服務(wù)等網(wǎng)絡(luò)流量分析對在網(wǎng)絡(luò)中傳輸?shù)膶嶋H數(shù)據(jù)流進行分析，包括從底層的數(shù)據(jù)流到應(yīng)用層數(shù)據(jù)的分析。網(wǎng)絡(luò)流量分析是網(wǎng)絡(luò)分

3、析的子集。網(wǎng)絡(luò)流量分析的基礎(chǔ)是網(wǎng)絡(luò)協(xié)議分析。網(wǎng)絡(luò)流量分析具有累積性。案例I：某辦公自動化OA的流量評估 從啟動到登錄完成所從啟動到登錄完成所產(chǎn)生的網(wǎng)絡(luò)流量產(chǎn)生的網(wǎng)絡(luò)流量（用（用sniffer pro分析分析 ）案例II：對視頻會議的應(yīng)用流量評估測試網(wǎng)絡(luò)性能的工具ntopWildpackets公司的omni peekWireShark端口掃描端口掃描技術(shù)是漏洞掃描技術(shù)的起源實質(zhì)：通過連接到系統(tǒng)的TCP或UDP端口，確定何種服務(wù)正在運行你能列舉多少個已知端口的名稱？端口號端口號TCP/UDP名稱名稱20 21TCPftp-data ftp-control23TCPtelnet25TCPSMTP53

4、TCP, UDPDNS80TCPHTTP110TCPPOP3111TCP, UDPRPC443TCPHTTPSTCP協(xié)議和TCP掃描技術(shù)IP分組中的傳輸控制協(xié)議TCP數(shù)據(jù)段結(jié)構(gòu) 用三次握手建立 TCP 連接 SYN = 1, seq = xCLOSEDCLOSED主動打開被動打開AB客戶服務(wù)器5.9.1 TCP 的連接建立A 的 TCP 向 B 發(fā)出連接請求報文段，其首部中的同步位 SYN = 1，并選擇序號 seq = x，表明傳送數(shù)據(jù)時的第一個數(shù)據(jù)字節(jié)的序號是 x。用三次握手建立 TCP 連接 SYN = 1, seq = xCLOSEDCLOSED主動打開被動打開AB客戶服務(wù)器5.9.1

5、 TCP 的連接建立SYN = 1, ACK = 1, seq = y, ack= x 1 B 的 TCP 收到連接請求報文段后，如同意，則 發(fā)回確認。 B 在確認報文段中應(yīng)使 SYN = 1，使 ACK = 1， 其確認號ack = x 1，自己選擇的序號 seq = y。SYN = 1, seq = xACK = 1, seq = x + 1, ack = y 1CLOSEDCLOSED主動打開被動打開AB客戶服務(wù)器SYN = 1, ACK = 1, seq = y, ack= x 1 A 收到此報文段后向 B 給出確認，其 ACK = 1， 確認號 ack = y 1。 A 的 TCP

6、通知上層應(yīng)用進程，連接已經(jīng)建立。 SYN = 1, seq = xACK = 1, seq = x + 1, ack = y 1CLOSEDCLOSED數(shù)據(jù)傳送主動打開被動打開AB客戶服務(wù)器SYN = 1, ACK = 1, seq = y, ack= x 1 B 的 TCP 收到主機 A 的確認后，也通知其上層 應(yīng)用進程：TCP 連接已經(jīng)建立。SYN-SENTESTAB-LISHEDSYN-RCVDLISTENESTAB-LISHED用三次握手建立 TCP 連接的各狀態(tài) SYN = 1, seq = xACK = 1, seq = x + 1, ack = y 1CLOSEDCLOSED數(shù)據(jù)

7、傳送主動打開被動打開AB客戶服務(wù)器5.9.1 TCP 的連接建立SYN = 1, ACK = 1, seq = y, ack= x 1FIN = 1, seq = uCLOSED主動關(guān)閉數(shù)據(jù)傳送ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器CLOSED5.9.2 TCP 的連接釋放 數(shù)據(jù)傳輸結(jié)束后，通信的雙方都可釋放連接。 現(xiàn)在 A 的應(yīng)用進程先向其 TCP 發(fā)出連接釋放 報文段，并停止再發(fā)送數(shù)據(jù)，主動關(guān)閉 TCP 連接。 A 把連接釋放報文段首部的 FIN = 1，其序號 seq = u，等待 B 的確認。FIN = 1, seq = uACK = 1, seq = v, a

8、ck= u 1主動關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器5.9.2 TCP 的連接釋放 B 發(fā)出確認，確認號 ack = u 1， 而這個報文段自己的序號 seq = v。 TCP 服務(wù)器進程通知高層應(yīng)用進程。 從 A 到 B 這個方向的連接就釋放了，TCP 連接 處于半關(guān)閉狀態(tài)。B 若發(fā)送數(shù)據(jù)，A 仍要接收。FIN = 1, seq = uACK = 1, seq = v, ack= u 1FIN = 1, ACK = 1, seq = w, ack= u 1主動關(guān)閉被動關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進程ESTAB-LISHEDESTAB-LISHEDA

9、B客戶服務(wù)器數(shù)據(jù)傳送5.9.2 TCP 的連接釋放 若 B 已經(jīng)沒有要向 A 發(fā)送的數(shù)據(jù)， 其應(yīng)用進程就通知 TCP 釋放連接。 FIN = 1, seq = uACK = 1, seq = v, ack= u 1FIN = 1, ACK = 1, seq = w, ack= u 1主動關(guān)閉被動關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器數(shù)據(jù)傳送5.9.2 TCP 的連接釋放 A 收到連接釋放報文段后，必須發(fā)出確認。 ACK = 1, seq = u + 1, ack = w 1FIN = 1, seq = uACK = 1, seq = v, ack

10、= u 1FIN = 1, ACK = 1, seq = w, ack= u 1主動關(guān)閉被動關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器數(shù)據(jù)傳送5.9.2 TCP 的連接釋放 在確認報文段中 ACK = 1，確認號 ack w 1， 自己的序號 seq = u + 1。 ACK = 1, seq = u + 1, ack = w 1CLOSEDACK = 1, seq = u + 1, ack = w 1FIN = 1, seq = uACK = 1, seq = v, ack= u 1FIN = 1, ACK = 1, seq = w, ack= u

11、 1FIN-WAIT-1CLOSE-WAITFIN-WAIT-2LAST-ACK等待 2MSLTIME-WAIT主動關(guān)閉被動關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器數(shù)據(jù)傳送CLOSED5.9.2 TCP 的連接釋放 TCP 連接必須經(jīng)過時間 2MSL 后才真正釋放掉。 TCP協(xié)議和TCP掃描技術(shù)TCPTCP協(xié)議的特點協(xié)議的特點關(guān)閉的端口對關(guān)閉的端口對SYNSYN包或包或FINFIN包回應(yīng)包回應(yīng)RSTRST（置（置“1 1”）ACKACK包到達一個包到達一個活動活動端口，該包被丟棄，同時端口，該包被丟棄，同時回應(yīng)一個回應(yīng)一個RSTRST包包SYNSY

12、N包到達一個活動端口，正常三次握手，回包到達一個活動端口，正常三次握手，回應(yīng)應(yīng)SYN/ACKSYN/ACK包包FINFIN包到達一個活動端口，該包被丟棄包到達一個活動端口，該包被丟棄無論端口狀態(tài)如何，對無論端口狀態(tài)如何，對RSTRST包都不回應(yīng)包都不回應(yīng)TCP協(xié)議和TCP掃描技術(shù)TCPTCP掃描掃描全全TCPTCP連接：連接：直接連接直接連接到目標端口并完成到目標端口并完成一個完整的三次握手，一個完整的三次握手，有什么缺陷？有什么缺陷？TCP SYNTCP SYN掃描（掃描（TCPTCP半連接掃描半連接掃描）如果掃描主機收到的如果掃描主機收到的TCPTCP報文中報文中RSTRST置置“1 1”，表示目標主機該端，表示目標主機該端口是口是“死端口死端口”，繼續(xù)探聽其他端口，加快了掃描速度，繼續(xù)探聽其他端口，加快了掃描速度如果掃描主機收到的如果掃描主機收到的TCPTCP報文中報文中SYNSYN和和ACKACK置置“1 1”，說明目標端，說明目標端口處于口處于ListeningListening狀態(tài)，接著掃描主機傳送一個狀態(tài)，接著掃描主機傳送一個RSTRST給目標主機給目標主機拒絕建立拒絕建立TCPTCP連接，從而導(dǎo)致三次握手失敗連接，從而導(dǎo)致三次握手失