Bases de la lecture des traces TCP/IP

Traductions disponibles Traductions disponibles
Numéro d'article: 169292 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit des concepts de base et les conseils nécessaires pour la lecture des traces TCP/IP.

Plus d'informations

Indicateurs TCP

A, ACK-(AR) le récepteur envoie un accusé de réception est égale au numéro de séquence expéditeurs, plus la Len ou quantité de données au niveau de la couche TCP.

SYN et FIN indicateurs nombre que 1 octet. L'accusé de réception peut également être considéré comme le numéro de séquence de l'octet suivant du récepteur s'attend à recevoir.

S, SYN-synchroniser est utilisée pendant la configuration de la session pour se mettre d'accord sur les numéros de séquence initiale. Numéros de séquence sont aléatoires.

F, FIN-fin est utilisé au cours d'une session progressive à proximité de montrent que l'expéditeur n'a plus aucune donnée à envoyer.

R, RST-Reset est un instantané abandon dans les deux directions (déconnexion anormale session).

P, PSH-émetteur force la remise des données sans attendre pour les mémoires tampons remplir. Il est utilisé pour le trafic interactif. Les données seront également remises à l'application sur le point récepteur avec sortie mise en mémoire tampon.

U, URG-urgent-Data est envoyé de bande.
Example of 3 Way Hand Shake
--------------------------------------------------------------
Time     Dst IP          Src IP        Protocol    Description
20.862   157.57.24.193   157.57.11.169   TCP       ....S., len:    4, seq:
346564214, ack:         0, win: 8192,

20.866   157.57.11.169   157.57.24.193   TCP       .A..S., len:    4, seq:
339000739, ack: 346564215, win: 8760,

20.866   157.57.24.193   157.57.11.169   TCP       .A...., len:    0, seq:
346564215, ack: 339000740, win: 8760,


Example of Graceful Close (Modified 3 Way Hand Shake)

Time    Dst IP          Src IP        Protocol    Description
39.295  157.57.11.169   157.57.24.193   TCP       .A...F, len:    0, seq:
339000917, ack: 346564257, win: 8718,

39.295  157.57.24.193   157.57.11.169   TCP       .A...., len:    0, seq:
346564257, ack: 339000918, win: 8583,

39.298  157.57.24.193   157.57.11.169   TCP       .A...F, len:    0, seq:
346564257, ack: 339000918, win: 8583,

39.300  157.57.11.169   157.57.24.193   TCP       .A...., len:    0, seq:
339000918, ack: 346564258, win: 8718,
				

Dans les suivis de deux ci-dessus, protocole de contrôle de transmission (TCP) est le protocole de couche plus élevé, pour les informations de session pertinentes soient lisibles à partir de la ligne de résumé de la trace. S'il existe un protocole de couche supérieure (NBT, SMB, Telnet, FTP, etc.), vous devrez peut-être rechercher dans le paquet pour les indicateurs TCP, les numéros de séquence et les accusés de réception.

Comportement de retransmission

(à partir de «TCP/IP Implementation Details")

TCP démarre une minuterie de retransmission lorsque chaque segment sortant est transmis à période d'enquête. Si aucun accusé de réception n'a été reçue pour les données dans un segment donné avant l'expiration de la minuterie, le segment est retransmis, jusqu'aux heures de TcpMaxDataRetransmissions. La valeur par défaut pour ce paramètre est 5.

La minuterie de retransmission est initialisée à 3 secondes lorsque une connexion TCP est établie ; toutefois il est ajusté» à la volée» pour faire correspondre les caractéristiques de la connexion à l'aide de calculs SRTT (lissées Round Trip Time) RFC793. La minuterie d'un segment donné est doublée après chaque retransmission de ce segment. À l'aide de cet algorithme, TCP s'ajuste à la "normal" retard d'une connexion. Connexions TCP sur des liaisons délai élevé s'effectuera beaucoup plues délai d'attente que celles sur les liaisons de faible délai.

L'élément de trace suivant illustre l'algorithme de retransmission pour deux hôtes connectés via une connexion Ethernet sur le même sous-réseau. Un transfert de fichiers FTP était en cours, lorsque l'ordinateur hôte réception a été déconnecté du réseau. Comme SRTT pour cette connexion était très faible, la retransmission premier a été envoyée ensuite après environ la moitié. La minuterie a été doublée puis pour chacun des retransmissions qui suivi. Après la cinquième retransmission, la temporisation est doublée à nouveau, et si aucun accusé de réception n'est reçue avant son expiration, le transfert est abandonné.
delta source ip    dest ip      pro flags   description
--------------------------------------------------------------
0.000 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

0.521 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

1.001 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

2.003 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

4.007 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

8.130 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760
				

Une fois qu'ordinateur épuisement des tentatives de «X», vous pouvez ne pas voir un "Réinitialiser" tout de suite. Si l'ordinateur "Y" répond enfin, ordinateur "X" peut ensuite réinitialiser la connexion.

Windows coulissant

Lors de la poignée de main, la taille de la fenêtre Envoyer est définie à l'autre fenêtre de réception du ordinateur hôte. La taille de la fenêtre est une mémoire tampon et est la quantité de données de l'expéditeur peut envoyer et le récepteur peut recevoir sans un ACK La «fenêtre» peut glisser avant après que ce paquet est reconnu.

Avec une fenêtre de réception de 8760, l'émetteur peut envoyer 8760 octets avant la réception d'un ACK Le récepteur peut ack chaque paquet, tous les paquets ou 8760 ensemble en fonction de la pile IP et le minutage. (Voir différées ACK Timer et minuterie de retransmission) Windows NT va ack tous les autres paquets. Si les paquets proviennent extrêmement rapide, il se peut que vous constatiez WINDOWSNT ack paquets plus de 2. Si le PUSH bit défini, données seront envoyées sur l'application immédiatement, mais l'ack peut toujours être retardé.

Le numéro de séquence dans le cadre 51 est 349349990. Ack dans cadre 57 est 349358750. Ceci est le numéro de séquence à partir de cadre 51 plus la quantité de données reçues dans des cadres 51 à 56 (6 images x 1460 = 8760). En outre, ack 349358750 est le numéro de séquence du paquet suivant l'ordinateur hôte s'attend à recevoir.
Frame   Time    Src Other Addr  Dst Other Addr  Protocol  Description
---------------------------------------------------------------------
50      3.923   157.57.11.169   157.57.24.193   TCP       .A...., len:
0, seq: 356870796, ack: 349349990, win: 8760,

51      3.924   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460
+ TCP: .A...., len: 1460, seq: 349349990, ack: 356870796, win: 8760, src:
20  dst: 1636

52      3.940   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

53      3.941   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

54      3.943   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

55      3.944   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

56      3.946   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

57      3.947   157.57.11.169   157.57.24.193   TCP       .A...., len:
0, seq: 356870796, ack: 349358750, win: 4096,
				

La taille de la fenêtre est également utilisée pour le contrôle de flux. Si un ordinateur hôte affiche une taille de fenêtre inférieure lors du remplissant de ses tampons ou d'une taille de fenêtre de 0 si elle ne peut pas recevoir les données du tout. Dans le cadre 50 ci-dessus, l'ordinateur hôte publie une taille de fenêtre de 8760, dans le cadre 57 il a été supprimé à 4096.

Ports, les connexions et les points de terminaison

Numéros de port définissent la destination finale au sein d'un ordinateur. Connexions sont identifiées par une paire de points de terminaison. Un point de terminaison est (ordinateur hôte, port). Exemple (199.199.40, 21)

Numéros de port

Les numéros de port sont divisés en trois plages : les ports connus, les ports enregistrés et les ports dynamiques et/ou privés. Les ports connus sont ceux compris entre 0 et 1023.The ports enregistrés se trouvent entre 1024 et 49151. Ports le dynamiques et/ou privés sont situés entre 49152 à 65535.

Ports connus sont affectés par l'IANA (Internet Assigned Numbers Authority) et doivent être utilisés uniquement par les processus système ou par les programmes exécutés par les utilisateurs privilégiée. Un exemple de ce type de port est 80/TCP et UDP/80. Ces ports sont privilégiée et réservé pour une utilisation par le protocole HTTP.

Ports enregistrés sont répertoriés par l'IANA et sur la plupart des systèmes peuvent être utilisés par les processus utilisateur ordinaires ou les programmes exécutés par des utilisateurs ordinaires. Il est un exemple de ce type de port 1723/TCP et UDP/1723. Bien qu'il soit peuvent d'utiliser ces ports par d'autres processus qu'ils sont généralement acceptés en tant que le port de contrôle de connexion pour point To Point Tunneling Protocol (PPTP).

Dynamiques ou privés ports peuvent être utilisés par n'importe quel processus ou utilisateur. Ils sont non restreints.

IANA gère une liste de ports sur leur site Web à :
http://www.iana.org/assignments/port-numbers
Microsoft fournit les coordonnées de sociétés tierces pour vous aider à trouver un support technique. Ces coordonnées peuvent être modifiés sans préavis. Microsoft ne garantit pas l'exactitude des informations concernant les tiers.

Suggestions de lectures de trace

Suivez une session à l'aide de la source et adresse IP de destination et les numéros de port. Si vous trouvez une réinitialisation, concentre sur les numéros de séquence et les accusés de réception qui se déroulent il. Utiliser une calculatrice pour voir quelle ack est correspondant à quelles données envoyées. Les versions plus récentes de NetMon va effectuer les calculs pour vous. L'expéditeur est effectuant des nouvelles tentatives ? Notez le nombre de tentatives et le temps écoulé. Le nombre par défaut de tentatives est 5. Est le récepteur demande d'un cadre manqué par ACKing un numéro de séquence précédent ? L'expéditeur n'a sauvegarder et renvoyer le paquet précédent ? Une réinitialisation peut être dû à des délais au niveau de la couche TCP ou par des délais d'attente de protocoles des couches supérieures. Réinitialisations d'origine au niveau de la couche TCP doivent être faciles à lire à partir de la trace. Il peut être plus difficile de déterminer la cause de réinitialise provenant de protocoles des couches supérieures.

Par exemple, un SMB Server Message Block () lire peut expirer dans 45 secondes et entraîner une réinitialisation de la session même si les communications sont lentes mais fonctionne au niveau de la couche TCP. La trace peut réduire uniquement quel composant est défectueux. À partir de là vous devrez peut-être utiliser d'autres méthodes de dépannage pour déterminer la cause.

Pour voir TCP séquençage lorsque des protocoles de niveau supérieur sont présents, démarrez le Moniteur réseau et effectuez les opérations suivantes :
  1. Cliquez sur Copier, puis choisissez Afficher les données capturées.
  2. Cliquez sur Affichage et choisissez Options.
  3. Sélectionnez l'option automatique (basé sur les protocoles du filtre d'affichage), puis cliquez sur OK.
  4. Cliquez sur Afficher, puis choisissez filtres.
  5. Double-cliquez sur protocole = n'importe laquelle.
  6. Cliquez sur l'onglet protocole, puis cliquez sur Désactiver tout.
  7. Dans la zone de liste Protocoles désactivés, cliquez sur TCP.
  8. Cliquez sur activé, puis cliquez sur OK.
  9. Cliquez sur OK.

Références

TCP/IP illustrations volume 1; w. Richard Stevens
TCP/IP illustrations volume 2; Gary r. Wright et w. Richard Stevens
Interconnexion de réseaux TCP/IP volume 1; Douglas e. Comer
Gestion des réseaux d'interconnexion avec TCP/IP, volume 2: Douglas e. Comer et David l. Stevens
«TCP/IP Implementation Details»; Dave MacDonald

Propriétés

Numéro d'article: 169292 - Dernière mise à jour: jeudi 22 février 2007 - Version: 2.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
Mots-clés : 
kbmt kbinfo KB169292 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 169292
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com