Los principios básicos de lectura de trazas de TCP/IP

Seleccione idioma Seleccione idioma
Id. de artículo: 169292 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo describen algunos conceptos y consejos para que sea necesarios para la lectura de TCP/IP trazas.

Más información

Indicadores TCP

A, ACK-(confirmación) del receptor se envíe una confirmación que es igual a la número de secuencia de los remitentes más Len o cantidad de datos, en el nivel TCP.

SYN y FIN marca número como 1 byte. La confirmación puede también considerarse el número de secuencia de los siguientes ocho caracteres del receptor espera recibir.

S, sincronizar el SYN - se utiliza durante la configuración de la sesión para acordar inicial números de secuencia. Los números de secuencia son aleatorios.

F, FIN a fin se usa durante una sesión sin problemas de cierre para mostrar que el remitente no tiene más datos para enviar.

R, RST - Reset es una instrucción abort instantánea en ambas direcciones (anormales desconexión de la sesión).

P, PSH pulsación fuerza la entrega de datos sin tener que esperar para que los búferes rellenar. Se utiliza para el tráfico interactivo. Los datos también se pueden entregar a la aplicación en el extremo receptor con cabo el almacenamiento en búfer.

U, URG--datos urgentes se envían fuera de banda.
Example of 3 Way Hand Shake
--------------------------------------------------------------
Time     Dst IP          Src IP        Protocol    Description
20.862   157.57.24.193   157.57.11.169   TCP       ....S., len:    4, seq:
346564214, ack:         0, win: 8192,

20.866   157.57.11.169   157.57.24.193   TCP       .A..S., len:    4, seq:
339000739, ack: 346564215, win: 8760,

20.866   157.57.24.193   157.57.11.169   TCP       .A...., len:    0, seq:
346564215, ack: 339000740, win: 8760,


Example of Graceful Close (Modified 3 Way Hand Shake)

Time    Dst IP          Src IP        Protocol    Description
39.295  157.57.11.169   157.57.24.193   TCP       .A...F, len:    0, seq:
339000917, ack: 346564257, win: 8718,

39.295  157.57.24.193   157.57.11.169   TCP       .A...., len:    0, seq:
346564257, ack: 339000918, win: 8583,

39.298  157.57.24.193   157.57.11.169   TCP       .A...F, len:    0, seq:
346564257, ack: 339000918, win: 8583,

39.300  157.57.11.169   157.57.24.193   TCP       .A...., len:    0, seq:
339000918, ack: 346564258, win: 8718,
				

En las trazas de dos anteriores, protocolo de control de transmisión (TCP) es el más alto la capa de protocolo, por lo que la información de sesión pertinente se puede leer desde el línea de resumen de la traza. Si no hay un protocolo de capa superior (NBT, SMB, Telnet, FTP, etc.), tendrá que buscar en el paquete para los indicadores TCP, ACK y secuencia de números.

Comportamiento de retransmisión

(de "TCP/IP Implementation Details")

TCP inicia un temporizador de retransmisión cuando cada segmento saliente se entrega hacia abajo para IP. Si no ha recibido ningún acuse de recibo de los datos en un determinado segmento antes de que caduque el temporizador, a continuación, se retransmite el segmento, hasta TcpMaxDataRetransmissions veces. El valor predeterminado para este parámetro es de 5.

El temporizador de retransmisión se inicializa en 3 segundos cuando una conexión TCP esté establecido; Sin embargo se ajusta "sobre la marcha" para que coincida con la características de conexión en tiempo de ida y vuelta suavizan (SRTT) cálculos como se describe en RFC793. El temporizador para un segmento determinado es duplica después de cada retransmisión de ese segmento. Con este algoritmo, TCP se ajusta al retardo "normal" de una conexión. Conexiones TCP a través de vínculos de retardo alto tardará mucho más tiempo de espera que los a través de low- vínculos de retardo.

La siguiente secuencia de traza muestra el algoritmo de retransmisión para dos hosts conectados a través de Ethernet en la misma subred. Una transferencia de archivos FTP se encontraba en curso, cuando el host receptor se desconectó de la red. Desde el tiempo SRTT de esta conexión es muy pequeño, es la primera retransmisión enviar después de aproximadamente, medio segundo. El temporizador, a continuación, se duplica para cada uno de retransmisiones siguientes. Después de la quinta retransmisión, el temporizador se duplica una vez más, y si no se recibe ningún acuse de recibo antes de que caduca, a continuación, se ha anulado la transferencia.
delta source ip    dest ip      pro flags   description
--------------------------------------------------------------
0.000 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

0.521 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

1.001 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

2.003 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

4.007 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

8.130 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760
				

Después de que equipo agotar los reintentos "X", puede que no vea un derecho "Restablecer" distancia. Si finalmente responde equipo "Y", "X" de equipo, a continuación, puede restablecer el conexión.

Ventanas deslizantes

Durante el protocolo de enlace, se establece el tamaño de ventana de envío en el otro host ventana de recepción. El tamaño de ventana es un búfer y es la cantidad de datos de la remitente puede enviar y el receptor puede recibir sin una confirmación. La "ventana" Puede Deslizar hacia delante una vez reconocido ese paquete.

Con una ventana de recepción de 8760, el remitente puede enviar 8760 bytes antes de recibir una confirmación. El receptor podría ack todos los paquetes, todos los otros paquetes o 8760 todo dependiendo de la pila IP y el calendario. (Consulte confirmación retardada Temporizador y temporizador de retransmisión) Windows NT será ack todos los otros paquetes. Si el los paquetes vienen extremadamente rápido, es posible que vea ack de Windows NT más de 2 paquetes. Si el método PUSH bit establecido, datos serán entregados a la aplicación todavía puede retrasarse seguida, pero la confirmación.

El número de secuencia en el marco de 51 es 349349990. Es la confirmación en el marco de 57 349358750. Este documento es el número de secuencia de fotograma 51 más la cantidad de datos recibidos en marcos de 56 a 51 (6 fotogramas x 1460 = 8760). Además, el 349358750 de confirmación es el número de secuencia del paquete siguiente que el host espera recibir.
Frame   Time    Src Other Addr  Dst Other Addr  Protocol  Description
---------------------------------------------------------------------
50      3.923   157.57.11.169   157.57.24.193   TCP       .A...., len:
0, seq: 356870796, ack: 349349990, win: 8760,

51      3.924   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460
+ TCP: .A...., len: 1460, seq: 349349990, ack: 356870796, win: 8760, src:
20  dst: 1636

52      3.940   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

53      3.941   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

54      3.943   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

55      3.944   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

56      3.946   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

57      3.947   157.57.11.169   157.57.24.193   TCP       .A...., len:
0, seq: 356870796, ack: 349358750, win: 4096,
				

También se utiliza el tamaño de ventana para el control de flujo. Si un host se está anunciando una menor tamaño de la ventana cuando sus búferes de operación de relleno o un tamaño de la ventana de 0 si no puede recibir datos en absoluto. En el marco de 50 anterior, se está anunciando el host un tamaño de la ventana de 8760 y en el marco 57 que se ha quitado a 4096.

Puertos, conexiones y extremos

Los números de puerto definen el destino final dentro de un equipo. Conexiones se identifican mediante un par de puntos finales. Un extremo es (host, puerto). P. ej. (199.199.40, 21)

Números de puerto

Los números de puerto se dividen en tres categorías: los puertos conocidos, los puertos registrados y los puertos dinámicos y/o privados. Los puertos conocidos son aquellos entre 0 y 1023.The los puertos registrados están comprendidos entre 1024 y 49151. Puertos los dinámicos y/o privados van de 49152 a 65535.

Los puertos conocidos que se asignan por Internet IANA Assigned Numbers Authority () y sólo se debe utilizar los procesos del sistema o programas ejecutados por privilegiada usuarios. Un ejemplo de este tipo de puerto es 80/TCP y UDP/80. Estos puertos están privilegiada y reservado para su uso por el protocolo HTTP.

Los puertos registrados indicados por la IANA y en la mayoría de los sistemas pueden utilizar procesos de usuario normal o programas ejecutados por usuarios normales. Un ejemplo de Este tipo de puerto es 1723/TCP y UDP/1723. Aunque se pueden utilizar estos puertos por otros procesos que generalmente se aceptan como la conexión de controlan de puerto para Protocolo de protocolo de túnel punto a punto (PPTP).

Dinámicos o privados puertos pueden utilizarse por cualquier proceso o usuario. Son sin restricciones.

IANA mantiene una lista de puertos en su sitio Web en:
http://www.iana.org/assignments/port-numbers
Microsoft proporciona información de contacto de otros fabricantes para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la exactitud de esta información de contacto de otros fabricantes.

Seguimiento de las sugerencias de lectura

Siga una sesión de uso de origen y dirección IP de destino y los números de puerto. Si observa un restablecimiento, centrarse en los números de secuencia y confirmaciones ACK que proceda lo. Utilizar una calculadora para ver qué ack correspondiente a los datos enviados. Las versiones más recientes de NetMon hará los cálculos por usted. Es el remitente ¿hacer reintentos? Tenga en cuenta el número de reintentos y el tiempo transcurrido. El valor predeterminado número de reintentos es 5. El receptor solicita un marco no ejecutado por ACKing ¿un número de secuencia anterior? El remitente hacer copia de seguridad y vuelva a enviar la anterior ¿paquete? Un restablecimiento puede deberse a los tiempos de espera en la capa TCP o por tiempos de espera de protocolos de nivel superior. Debe ser restablece original en la capa TCP fácil de leer a partir del trazado. Puede ser más difícil determinar la causa de restablecimientos procedentes de protocolos de nivel superior.

Por ejemplo, un bloque de mensajes de servidor (SMB) leer puede agotar el tiempo en 45 segundos y provocarán un restablecimiento de la sesión, aunque las comunicaciones son lentas, pero trabajar en el nivel TCP. Sólo puede restringir qué componente es el seguimiento de la error. Desde allí es posible que deba usar otros métodos de solución de problemas a determinar la causa.

Para ver las secuencias de TCP cuando hay protocolos de nivel superior, iniciar Monitor de red y realice los pasos siguientes:
  1. Haga clic en capturar y, a continuación, elija Mostrar datos capturados.
  2. Haga clic en Mostrar y, a continuación, elija opciones.
  3. Seleccione Auto (basado en protocolos en el filtro de presentación) y, a continuación, haga clic en Aceptar.
  4. Haga clic en Mostrar y, a continuación, elija filtro.
  5. Haga doble clic en Protocolo = Any.
  6. Haga clic en la ficha Protocolo y, a continuación, haga clic en Deshabilitar todo.
  7. En el cuadro de lista Protocolos deshabilitados, seleccione TCP.
  8. Haga clic en habilitada, a continuación, haga clic en Aceptar.
  9. Haga clic en Aceptar.

Referencias

TCP/IP Illustrated volumen 1; W el. Richard Stevens
TCP/IP Illustrated volumen 2; Gary R. Wright y W. Richard Stevens
Internetworking with TCP/IP volumen 1; Douglas E. Comer
Internetworking with TCP/IP volumen 2; Douglas E. Comer y David Stevens de L.
"TCP/IP Implementation Details"; Dave MacDonald

Propiedades

Id. de artículo: 169292 - Última revisión: miércoles, 16 de enero de 2013 - Versión: 4.0
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palabras clave: 
kbinfo kbmt KB169292 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 169292

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com