Noções básicas de leitura rastreamentos de TCP/IP

Traduções deste artigo Traduções deste artigo
ID do artigo: 169292 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo aborda alguns conceitos básicos e dicas necessárias para ler os rastreamentos de TCP/IP.

Mais Informações

Sinalizadores TCP

A,-ACK (confirmação) O receptor enviará um pacote ACK é igual ao número de seqüência remetentes mais o Len ou quantidade de dados, na camada de TCP.

SYN e FIN sinalizadores contagem como 1 byte. O ACK também pode ser considerado de como o número de seqüência do próximo octeto o receptor espera receber.

S, SYN-sincronizar é usado durante a instalação de sessão para concordar com números de seqüência inicial. Números de seqüência são aleatórios.

F, FIN-término é usado durante uma sessão normal próximo para mostrar que o remetente não tem mais dados para enviar.

R, o RST-redefinir é uma anulação de instantânea em ambas as direções (desconexão anormal sessão).

P, PSH-enviar força a entrega de dados sem aguardar o buffers para preencher. Isso é usado para tráfego interativo. Os dados também serão entregues para o aplicativo na extremidade de recepção com check-out buffer.

U, URG-urgente-dados é enviada fora de banda.
Example of 3 Way Hand Shake
--------------------------------------------------------------
Time     Dst IP          Src IP        Protocol    Description
20.862   157.57.24.193   157.57.11.169   TCP       ....S., len:    4, seq:
346564214, ack:         0, win: 8192,

20.866   157.57.11.169   157.57.24.193   TCP       .A..S., len:    4, seq:
339000739, ack: 346564215, win: 8760,

20.866   157.57.24.193   157.57.11.169   TCP       .A...., len:    0, seq:
346564215, ack: 339000740, win: 8760,


Example of Graceful Close (Modified 3 Way Hand Shake)

Time    Dst IP          Src IP        Protocol    Description
39.295  157.57.11.169   157.57.24.193   TCP       .A...F, len:    0, seq:
339000917, ack: 346564257, win: 8718,

39.295  157.57.24.193   157.57.11.169   TCP       .A...., len:    0, seq:
346564257, ack: 339000918, win: 8583,

39.298  157.57.24.193   157.57.11.169   TCP       .A...F, len:    0, seq:
346564257, ack: 339000918, win: 8583,

39.300  157.57.11.169   157.57.24.193   TCP       .A...., len:    0, seq:
339000918, ack: 346564258, win: 8718,
				

Em dois rastreamentos acima, protocolo de controle de transmissão (TCP) é o protocolo de camada mais alto, para que podem ser ler as informações de sessão relevantes da linha de resumo do rastreamento. Se houver um protocolo de camada mais alta (NBT, SMB, Telnet, FTP, etc.), você precisará examinar o pacote para os sinalizadores TCP, números de seqüência e acks.

Comportamento de re-Transmission

(a partir do "TCP/IP Implementation Details")

TCP inicia um cronômetro re-transmission quando cada segmento de saída é entregue para baixo para IP. Se nenhuma confirmação foi recebida para os dados em um determinado segmento antes do timer expira, em seguida, o segmento é retransmitido, até os horários TcpMaxDataRetransmissions. O valor padrão para este parâmetro é 5.

O timer re-transmission é inicializado para 3 segundos quando uma conexão TCP é estabelecida; no entanto é ajustada "em instantaneamente" para coincidir com as características da conexão usando cálculos SRTT (suavizadas Round Trip Time), conforme descrito em RFC793. O timer para um determinado segmento é dobrado após cada re-transmission de segmento. Usando esse algoritmo, TCP próprio ajusta o atraso de uma conexão "normal". Conexões TCP por links de alto atraso serão mais demorado para tempo limite daqueles em links de pouco atraso.

O clipe de rastreamento a seguir mostra o algoritmo re-transmission para dois hosts conectados através de Ethernet na mesma sub-rede. Uma transferência de arquivo via FTP estava em andamento, quando o host de recebimento foi desconectado da rede. Desde que o SRTT para esta conexão foi muito pequeno, re-transmission primeiro segundo foi enviada após cerca de metade. O timer, em seguida, foi duplicado para cada um dos re-transmissions que seguido. Após o quinto re-transmission, o timer novamente é duplicado e, não se for recebida nenhuma confirmação antes de expirar, a transferência será anulada.
delta source ip    dest ip      pro flags   description
--------------------------------------------------------------
0.000 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

0.521 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

1.001 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

2.003 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

4.007 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760

8.130 10.57.10.32  10.57.9.138  TCP .A...., len: 1460, seq: 8043781, ack:
8153124, win: 8760
				

Após o computador estão esgotadas tentativas "X", talvez você não veja um "Redefinir" imediatamente. Se o computador "Y" finalmente responde, o computador "X", em seguida, pode redefinir a conexão.

Deslizar Windows

Durante o handshake, o tamanho de janela Enviar é definido para a outra janela de recepção do host. O tamanho da janela é um buffer e é a quantidade de dados o remetente pode enviar e o destinatário pode receber sem um ack. "Janela" pode deslizar frente depois que esse pacote é confirmado.

Com uma janela de recepção de 8760, o remetente pode enviar 8760 bytes antes de receber um ack. O receptor pode confirmação todos os pacotes, todos os outros pacotes ou o 8760 dependendo da pilha de IP e o tempo todo. (Consulte atrasada timer de confirmação e timer de retransmissão) Windows NT será todos os outros pacotes de confirmação. Se os pacotes são originados extremamente rápida, você poderá ver confirmação do Windows NT pacotes mais de 2. Se o PUSH bit definido, dados serão entregues o aplicativo imediatamente, mas ainda pode ser atrasada a confirmação.

O número de seqüência no quadro 51 é 349349990. A confirmação no quadro 57 é 349358750. Isso é o número seqüência do quadro 51 mais a quantidade de dados recebidos em quadros 51 através de 56 (6 quadros x 1460 = 8760). Além disso, a confirmação 349358750 é o número de seqüência de próximo pacote que o host espera receber.
Frame   Time    Src Other Addr  Dst Other Addr  Protocol  Description
---------------------------------------------------------------------
50      3.923   157.57.11.169   157.57.24.193   TCP       .A...., len:
0, seq: 356870796, ack: 349349990, win: 8760,

51      3.924   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460
+ TCP: .A...., len: 1460, seq: 349349990, ack: 356870796, win: 8760, src:
20  dst: 1636

52      3.940   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

53      3.941   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

54      3.943   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

55      3.944   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

56      3.946   157.57.24.193   157.57.11.169   FTP       Data Transfer To
Client, Port = 1636, size 1460

57      3.947   157.57.11.169   157.57.24.193   TCP       .A...., len:
0, seq: 356870796, ack: 349358750, win: 4096,
				

O tamanho da janela também é usado para controle de fluxo. Se um host está anunciando um tamanho menor de janela quando seus buffers enchem ou um tamanho de janela de 0 se ele pode não receber dados em todos os. No quadro 50 acima, o host está anunciando um tamanho de janela de 8760 e no quadro 57 ela foi ignorada para 4096.

Pontos de extremidade, conexões e portas

Números de porta definem o destino final em um computador. Conexões são identificadas por um par de pontos de extremidade. Um ponto de extremidade é o (host, porta). Ex (199.199.40, 21)

Números de porta

Os números de porta são divididos em três intervalos: as conhecidas portas, portas registrado e o dinâmico e/ou portas particular. Portas conhecidas são aqueles de 0 a 1023.The portas registrados são aqueles de 1024 a 49151. O dinâmico e/ou portas particulares são aqueles de 49152 a 65535.

Portas conhecidas são atribuídas por Internet Assigned Numbers Authority (IANA) e só devem ser usadas por processos do sistema ou por programas executados por usuários privilegiada. Um exemplo desse tipo de porta é 80/TCP e UDP/80. Essas portas são privilegiada e reservado para uso pelo protocolo HTTP.

Portas registradas são listadas pela IANA e na maioria dos sistemas podem ser usadas por processos de usuário comum ou programas executados por usuários comuns. Um exemplo desse tipo de porta é 1723/TCP e UDP/1723. Embora essas portas podem ser usadas por outros processos que eles geralmente são aceitos como a porta de controle de conexão para ponto para ponto Tunnelling PPTP (protocolo).

Dinâmico ou portas particular pode ser usadas por qualquer processo ou usuário. Eles são irrestritos.

IANA mantém uma lista das portas no site da Web em:
http://www.iana.org/assignments/port-numbers
A Microsoft fornece terceiros informações de contatos para ajudá-lo a encontrar suporte técnico. Essa informações de contatos podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações contatos de terceiros.

Sugestões de leitura de rastreamento

Execute uma sessão usando fonte e o endereço IP de destino e números de porta. Se você encontrar uma reinicialização, focalizar os números de seqüência e acks continuá-lo. Use uma calculadora para ver qual confirmação é correspondente ao que os dados enviados. As versões mais recentes do NetMon irão fazer os cálculos para você. O remetente está fazendo tentativas? Anote o número de tentativas e o tempo decorrido. O número padrão de tentativas é 5. É o receptor solicitando uma moldura perdida por ACKing um número de seqüência anterior? O remetente fazer backup e reenviar o pacote anterior? Uma reinicialização pode ser causada por tempos limite na camada TCP ou por tempos limite de protocolos de camada superiores. Redefine a camada TCP de origem deve ser fácil ler a partir de rastreamento. Talvez seja mais difícil determinar a causa do redefine originadas de protocolos de camada superiores.

Por exemplo, um SMB (Server Message Block) ler pode expirar em 45 segundos e causar uma redefinição da sessão mesmo comunicações lento mas funcionando na camada de TCP. O rastreamento só pode restringir qual componente está com defeito. Talvez seja necessário usar outros métodos de solução de problemas para determinar a causa de lá.

Para ver o seqüenciamento TCP quando protocolos do nível mais alto estão presentes, iniciar o Monitor de rede e execute as seguintes etapas:
  1. Clique em capturar e escolha exibir dados capturados.
  2. Clique em Exibir e em seguida, escolha opções.
  3. Selecione automática (com base nos protocolos no filtro de exibição) e, em seguida, clique em OK.
  4. Clique em Exibir e, em seguida, escolha Filter.
  5. Clique duas vezes em Protocolo = Any.
  6. Clique na guia protocolo e clique em Desativar tudo.
  7. Na caixa de listagem protocolos desativados, escolha TCP.
  8. Clique em ativado, clique em OK.
  9. Clique em OK.

Referências

TCP/IP ilustrado volume 1; Freitas de Richard w.
TCP/IP ilustrado volume 2; Carlos r. Wright e w. Richard Freitas
Interconexão de redes com TCP/IP volume 1; Douglas e. Comer
Interconexão de redes com TCP/IP volume 2; Douglas e. Comer e David l. Freitas
"TCP/IP Implementation Details"; Dave MacDonald

Propriedades

ID do artigo: 169292 - Última revisão: quinta-feira, 22 de fevereiro de 2007 - Revisão: 2.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palavras-chave: 
kbmt kbinfo KB169292 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 169292

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com