Βασικές δυνατότητες ανάγνωσης ίχνη TCP/IP

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 169292 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Το άρθρο αυτό καλύπτει ορισμένες βασικές έννοιες και συμβουλές που απαιτούνται για την ανάγνωση του TCP/IP ίχνη.

Περισσότερες πληροφορίες

Σημαίες TCP

A, ACK-(επιβεβαίωση) δέκτη θα στείλει μια Επιβεβαίωση που ισούται με το αριθμός ακολουθίας αποστολείς συν το Len ή ποσότητα δεδομένων σε επίπεδο TCP.

SYN και FIN σημαίες μέτρηση ως 1 byte. ACK το μπορεί επίσης να θεωρηθεί ως ο αύξων αριθμός της επόμενης οκτάδας δέκτη αναμένει τη λήψη.

S, SYN - συγχρονισμός χρησιμοποιείται κατά τη διάρκεια της εγκατάστασης της περιόδου λειτουργίας για να συμφωνήσουν αρχική αριθμούς ακολουθίας. Αριθμούς ακολουθίας είναι τυχαίες.

F, FIN - λήξης χρησιμοποιείται για την εμφάνιση που περίοδο ένα ομαλό κλείσιμο του αποστολέας δεν έχει περισσότερα δεδομένα για την αποστολή.

R, RST - επαναφορά είναι στιγμιαία ματαίωσης (μη φυσιολογική αμφίδρομα αποσύνδεση περιόδου λειτουργίας).

P, PSH - ώθησης επιβάλλει παράδοση δεδομένων χωρίς αναμονή για τα buffer για το γέμισμα. Χρησιμοποιείται για την αλληλεπιδραστική κυκλοφορία. Τα δεδομένα θα παραδίδονται επίσης να η εφαρμογή στο τερματικό παραλαβής με ανάληψη buffering.

U, URG - επείγοντα-δεδομένα αποστέλλονται εκτός της ζώνης.
Example of 3 Way Hand Shake
--------------------------------------------------------------
Time     Dst IP          Src IP        Protocol    Description
20.862   157.57.24.193   157.57.11.169   TCP       ....S., len:    4, seq:
346564214, ack:         0, win: 8192,

20.866   157.57.11.169   157.57.24.193   TCP       .A..S., len:    4, seq:
339000739, ack: 346564215, win: 8760,

20.866   157.57.24.193   157.57.11.169   TCP       .A...., len:    0, seq:
346564215, ack: 339000740, win: 8760,


Example of Graceful Close (Modified 3 Way Hand Shake)

Time    Dst IP          Src IP        Protocol    Description
39.295  157.57.11.169   157.57.24.193   TCP       .A...F, len:    0, seq:
339000917, ack: 346564257, win: 8718,

39.295  157.57.24.193   157.57.11.169   TCP       .A...., len:    0, seq:
346564257, ack: 339000918, win: 8583,

39.298  157.57.24.193   157.57.11.169   TCP       .A...F, len:    0, seq:
346564257, ack: 339000918, win: 8583,

39.300  157.57.11.169   157.57.24.193   TCP       .A...., len:    0, seq:
339000918, ack: 346564258, win: 8718,
				

Στο παραπάνω δύο ίχνη, πρωτόκολλο ελέγχου μετάδοσης (TCP) είναι η υψηλότερη πρωτόκολλο, επιπέδου έτσι πληροφορίες σχετικές περιόδου λειτουργίας μπορεί να διαβαστεί από το γραμμή σύνοψης της ανίχνευσης. Εάν υπάρχει ένα πρωτόκολλο υψηλότερου επιπέδου (NBT, SMB, Telnet, FTP, κ.λπ.), θα πρέπει να αναζητήσετε το πακέτο για τις σημαίες TCP acks και ακολουθία αριθμών.

Συμπεριφορά αναμετάδοση

(από "Λεπτομέρειες υλοποίησης TCP/IP")

TCP ξεκινά ένας χρονιστής αναμετάδοση όταν χορηγούν κάθε εξερχόμενο τμήμα για IP. Εάν έχει ληφθεί δεν επιβεβαίωσης για δεδομένα σε μια δεδομένη το τμήμα πριν λήξει το χρονόμετρο, και στη συνέχεια επαναλαμβάνεται το τμήμα αγοράς, έως ώρες TcpMaxDataRetransmissions. Η προεπιλεγμένη τιμή για αυτήν την παράμετρο είναι 5.

Προετοιμασία του χρονιστή αναμετάδοση είναι 3 δευτερόλεπτα όταν μια σύνδεση TCP είναι εγκατεστημένος. Ωστόσο ρυθμίζεται "στα γρήγορα" για να ταιριάζει με το χαρακτηριστικά της σύνδεσης με εξομάλυνση ταξίδι γύρο χρόνο (SRTT) υπολογισμοί όπως περιγράφεται στο RFC793. Είναι το χρονόμετρο για ένα δεδομένο τμήμα διπλασιάζεται μετά από κάθε αναμετάδοση το τμήμα αγοράς. Χρησιμοποιώντας αυτόν τον αλγόριθμο TCP συντονιστεί ίδια με την "Κανονική" καθυστέρηση σύνδεσης. Συνδέσεις TCP μέσω συνδέσεων υψηλής καθυστέρησης θα διαρκέσει πολύ περισσότερο να λήξει από αυτές μέσω χαμηλής- καθυστέρηση συνδέσεις.

Παρακάτω clip παρακολούθησης εμφανίζει τον αλγόριθμο αναμετάδοση για δύο κεντρικών υπολογιστών συνδεδεμένοι μέσω Ethernet στο ίδιο υποδίκτυο. Ήταν μια μεταφορά αρχείων FTP εξέλιξη, ο κεντρικός υπολογιστής λαμβάνει αποσυνδέθηκε από το δίκτυο. Δεδομένου ότι SRTT για αυτήν τη σύνδεση ήταν πολύ μικρό, ήταν πρώτα αναμετάδοση Αποστολή μετά από περίπου μισό δευτερόλεπτο. Ο χρονιστής έγινε κατόπιν διπλασιάζεται για κάθε περιττές αναμεταδόσεις που ακολουθείται. Μετά το πέμπτο αναμετάδοση του χρονιστής διπλασιάζεται ξανά, και αν δεν έγινε λήψη πριν λήγει, και στη συνέχεια ματαιωθεί η μεταφορά.
delta source ip    dest ip      pro flags   description
--------------------------------------------------------------
0.000 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

0.521 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

1.001 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

2.003 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

4.007 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

8.130 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760
				

Όταν ο υπολογιστής εξαντλήσεως επαναλήψεων "X", ενδέχεται να μην δείτε το δικαίωμα "Επαναφορά" μακριά. Εάν ανταποκρίνεται τέλος υπολογιστή "Y", στη συνέχεια, ενδέχεται να επαναφορά υπολογιστή "X" το η σύνδεση.

Ολίσθηση των Windows

Κατά τη χειραψία, το μέγεθος του παραθύρου αποστολής έχει οριστεί σε άλλα του κεντρικού υπολογιστή εμφανίζεται το παράθυρο. Το μέγεθος του παραθύρου είναι ένα buffer και είναι η ποσότητα των δεδομένων του να στείλετε αποστολέα και ο δέκτης να λαμβάνετε χωρίς ack. "Παράθυρο" να διαφανειών εμπρός αφού αναγνωριστεί πακέτου.

Με ένα παράθυρο λήψης του 8760, ο αποστολέας μπορεί να στείλει 8760 byte πριν από λήψη ack. Ο δέκτης ήταν ack κάθε πακέτο, κάθε άλλο πακέτο ή ολόκληρη 8760 ανάλογα με τη στοίβα IP και το χρονισμό. (Δείτε την καθυστερημένη Ack Χρονιστής και ο χρονιστής Retransmit) των Windows NT θα ack κάθε άλλο πακέτο. Εάν το πακέτα που προέρχονται εξαιρετικά γρήγορη, ενδέχεται να δείτε τα Windows NT ack περισσότερο από 2 πακέτα. Εάν το σύνολο bit της ΏΘΗΣΗΣ, δεδομένα θα παραδίδονται την εφαρμογή δεξιά μακριά, αλλά η επιβεβαίωση εξακολουθεί να μπορεί να καθυστερήσει.

Ο αριθμός ακολουθίας καρέ 51 είναι 349349990. Ack στο πλαίσιο 57 είναι 349358750. Αυτό είναι ο αριθμός ακολουθίας από καρέ 51 συν το ποσό των λήψη δεδομένων σε πλαίσια 51 έως 56 (πλαίσια 6 x 1460 = 8760). Επίσης, το ACK 349358750 είναι ο αύξων αριθμός στο επόμενο πακέτο που ο κεντρικός υπολογιστής αναμένει τη λήψη.
Frame   Time    Src Other Addr  Dst Other Addr  Protocol  Description
---------------------------------------------------------------------
50      3.923   157.57.11.169   157.57.24.193   TCP       .A...., len:
0, seq: 356870796, ack: 349349990, win: 8760,

51      3.924   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460
+ TCP: .A...., len: 1460, seq: 349349990, ack: 356870796, win: 8760, src:
20  dst: 1636

52      3.940   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

53      3.941   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

54      3.943   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

55      3.944   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

56      3.946   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

57      3.947   157.57.11.169   157.57.24.193   TCP       .A...., len:
0, seq: 356870796, ack: 349358750, win: 4096,
				

Το μέγεθος του παραθύρου χρησιμοποιείται επίσης για τον έλεγχο ροής. Εάν η διαφήμιση ενός κεντρικού υπολογιστή σε μικρότερο μέγεθος παραθύρου κατά τη συμπλήρωση της buffers ή ένα μέγεθος παραθύρου 0 αν Αυτό δεν μπορούν να λάβουν σε όλα τα δεδομένα. Στο πλαίσιο 50 παραπάνω διαφήμιση στον κεντρικό υπολογιστή μέγεθος παραθύρου 8760 και στο πλαίσιο 57 απορρίφθηκε σε 4096.

Θύρες, συνδέσεις και απολήξεις

Αριθμοί θύρας ορίσετε τελικού προορισμού μέσα σε έναν υπολογιστή. Συνδέσεις αναγνωρίζονται από ένα ζεύγος απολήξεις. Απόληξη είναι (υποδοχής, θύρα). Π.χ. (199.199.40, 21)

Αριθμοί θύρας

Οι αριθμοί θύρας χωρίζονται σε τρεις περιοχές: γνωστές θύρες, θύρες καταχωρημένος, και το δυναμικό ή/και ιδιωτικού θύρες. Είναι γνωστές θύρες αυτές από 0 έως 1023.The καταχωρημένος θύρες είναι από 1024 έως 49151. Το δυναμικό ή/και ιδιωτικού θύρες είναι εκείνες από 49152 έως 65535.

Γνωστές θύρες αντιστοιχίζονται από Internet που έχουν αντιστοιχιστεί αριθμοί αρχή (IANA) και πρέπει να χρησιμοποιείται μόνο από διαδικασίες του συστήματος ή προγράμματα που εκτελούνται από priviledged Οι χρήστες. Ένα παράδειγμα αυτού του τύπου της θύρας είναι 80/UDP και 80/TCP. Οι θύρες αυτές priviledged και προορίζεται για χρήση από το πρωτόκολλο HTTP.

Καταχωρημένο θύρες παρατίθενται από το IANA και στα περισσότερα συστήματα μπορούν να χρησιμοποιηθούν από συνήθεις χρήστη διεργασίες ή προγράμματα που εκτελούνται από τους συνήθεις χρήστες. Ένα παράδειγμα Αυτός ο τύπος θύρας είναι 1723/UDP και 1723/TCP. Παρόλο που οι θύρες αυτές μπορούν να χρησιμοποιηθούν από άλλες διαδικασίες που γίνονται γενικά αποδεκτές ως σύνδεση ελέγχου θύρας για Σημείο σε σημείο Tunnelling Protocol (PPTP).

Δυναμικό ή ιδιωτικών θύρες μπορούν να χρησιμοποιηθούν από οποιαδήποτε διεργασία ή χρήστη. Είναι χωρίς περιορισμούς.

IANA διατηρεί μια λίστα των θυρών στην τοποθεσία Web σε:
http://www.iana.org/assignments/port-numbers
Η Microsoft παρέχει πληροφορίες επικοινωνίας με κατασκευαστές για να σας βοηθήσει να βρείτε τεχνική υποστήριξη. Αυτές οι πληροφορίες επικοινωνίας μπορεί να αλλάξουν χωρίς προειδοποίηση. Microsoft δεν εγγυάται την ακρίβεια των πληροφοριών επαφής τρίτων κατασκευαστών.

Ανίχνευση προτάσεις ανάγνωσης

Ακολουθήστε μια περίοδο λειτουργίας χρησιμοποιώντας την προέλευση και τη διεύθυνση IP προορισμού και αριθμούς θύρας. Εάν βρείτε μια επαναφορά, επικεντρώνεται στα αριθμών ακολουθίας και acks που συνεχίσετε αυτό. Χρήση Αριθμομηχανής για να δείτε τι ack αντιστοιχούν σε δεδομένα που αποστέλλονται. Θα το κάνετε υπολογισμούς για νεότερες εκδόσεις της εποπτείας δικτύου. Είναι ο αποστολέας κάνοντας επαναλήψεων; Σημειώστε τον αριθμό των επαναλήψεων και ο χρόνος που πέρασε. Η προεπιλογή αριθμός επαναλήψεων είναι 5. Ο δέκτης ζητά ένα καρέ που παραλείφθηκαν από ACKing προηγούμενο αριθμό ακολουθίας; Ο αποστολέας αντίγραφα και στείλτε ξανά την προηγούμενη πακέτο; Επαναφορά μπορεί να προκληθεί από διακοπές σε επίπεδο TCP ή λήξεις χρονικών ορίων από πρωτόκολλα υψηλότερου επιπέδου. Θα πρέπει να επαναφέρει καταγωγής σε επίπεδο TCP εύκολη ανάγνωση από την ανίχνευση. Μπορεί να είναι πιο δύσκολο να προσδιοριστεί το αιτία επαναφέρει καταγωγής από πρωτόκολλα υψηλότερου επιπέδου.

Για παράδειγμα, ένα μπλοκ μηνυμάτων διακομιστή (SMB) ανάγνωση ίσως χρονικό όριο σε 45 δευτερόλεπτα και προκαλέσει την επαναφορά της περιόδου λειτουργίας, παρόλο που οι επικοινωνίες είναι αργή, αλλά εργασία σε επίπεδο TCP. Η παρακολούθηση μπορεί μόνο περιορίσετε ποιο στοιχείο είναι ελάττωμα. Από εκεί, ίσως χρειαστεί να χρησιμοποιήσετε άλλες μεθόδους αντιμετώπισης προβλημάτων να προσδιορίσετε την αιτία.

Για να δείτε ακολουθίας TCP όταν υπάρχουν πρωτόκολλα ανώτερου επιπέδου, Έναρξη Εποπτεία δικτύου και ακολουθήστε τα παρακάτω βήματα:
  1. Κάντε κλικ στην επιλογή καταγραφής και έπειτα επιλέξτε Εμφάνιση καταγραμμένων δεδομένων.
  2. Κάντε κλικ στο κουμπί Εμφάνιση και στη συνέχεια επιλέξτε επιλογές.
  3. Επιλογή αυτόματο (βάσει των πρωτοκόλλων στο φίλτρο εμφάνισης) και στη συνέχεια κάντε κλικ στο κουμπί OK.
  4. Κάντε κλικ στο κουμπί Εμφάνιση και στη συνέχεια επιλέξτε το φίλτρο.
  5. Κάντε διπλό κλικ στο πρωτόκολλο = οποιαδήποτε.
  6. Κάντε κλικ στην καρτέλα πρωτόκολλο και στη συνέχεια κάντε κλικ στην επιλογή Απενεργοποίηση όλων.
  7. Στο πλαίσιο λίστας απενεργοποιημένα πρωτόκολλα, επιλέξτε TCP.
  8. Κάντε κλικ στο κουμπί Ενεργοποίηση και, στη συνέχεια, κάντε κλικ στο OK.
  9. Κάντε κλικ στο OK.

Αναφορές

TCP/IP απεικονίζεται τόμος 1. Ολοκλ. Stevens ο Γιώργος
TCP/IP απεικονίζεται τόμος 2. Gary R. Wright και ο Γιώργος Ολοκλ. Stevens
Διαδίκτυο TCP/IP όγκου 1. Ο Douglas E. Comer
Διαδίκτυο με TCP/IP τόμος 2. Ο Douglas E. Comer και Stevens L. Δαβίδ
"Λεπτομέρειες υλοποίησης TCP/IP". Τοποθεσία της Dave MacDonald

Ιδιότητες

Αναγν. άρθρου: 169292 - Τελευταία αναθεώρηση: Πέμπτη, 26 Μαΐου 2011 - Αναθεώρηση: 4.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Λέξεις-κλειδιά: 
kbinfo kbmt KB169292 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:169292

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com