Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Khái niệm cơ bản của đọc dấu vết TCP/IP

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:169292
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Bài viết này bao gồm một số khái niệm cơ bản và lời khuyên cần thiết cho việc đọc TCP/IPdấu vết.
THÔNG TIN THÊM

TCP cờ

A, ACK-(xác nhận) người nhận sẽ gửi một ACK bằng cácngười gửi chuỗi số cộng với các Len hoặc số lượng dữ liệu, ở lớp TCP.

SYN, và VÂY cờ đếm như là 1 byte. ACK có thể cũng được dùng nhưsố thứ tự tiếp theo octet nhận hy vọng sẽ nhận được.

S, SYN - đồng bộ hóa được sử dụng trong khi thiết lập phiên để đồng ý về ban đầusố thứ tự. Số thứ tự là ngẫu nhiên.

F, VÂY - kết thúc được sử dụng trong một phiên họp duyên dáng đóng để cho thấy rằng cácngười gửi đã không có nhiều dữ liệu hơn để gửi.

R, RST đặt lại là một abort tức thời trong cả hai hướng (bất thườngPhiên làm việc phân ly).

P, PSH - đẩy lực lượng dữ liệu phân phối mà không cần chờ đợi cho đệm để điền vào.Điều này được sử dụng cho lưu lượng truy cập tương tác. Dữ liệu cũng sẽ được chuyển giao chocác ứng dụng vào cuối nhận với ra đệm.

U, URG - khẩn cấp-Data được gửi ra khỏi ban nhạc.
Example of 3 Way Hand Shake--------------------------------------------------------------Time   Dst IP     Src IP    Protocol  Description20.862  157.57.24.193  157.57.11.169  TCP    ....S., len:  4, seq:346564214, ack:     0, win: 8192,20.866  157.57.11.169  157.57.24.193  TCP    .A..S., len:  4, seq:339000739, ack: 346564215, win: 8760,20.866  157.57.24.193  157.57.11.169  TCP    .A...., len:  0, seq:346564215, ack: 339000740, win: 8760,Example of Graceful Close (Modified 3 Way Hand Shake)Time  Dst IP     Src IP    Protocol  Description39.295 157.57.11.169  157.57.24.193  TCP    .A...F, len:  0, seq:339000917, ack: 346564257, win: 8718,39.295 157.57.24.193  157.57.11.169  TCP    .A...., len:  0, seq:346564257, ack: 339000918, win: 8583,39.298 157.57.24.193  157.57.11.169  TCP    .A...F, len:  0, seq:346564257, ack: 339000918, win: 8583,39.300 157.57.11.169  157.57.24.193  TCP    .A...., len:  0, seq:339000918, ack: 346564258, win: 8718,				

Ở các dạng dấu vết hai ở trên, transmission control protocol (TCP) là cao nhấtlớp giao thức, do đó, các thông tin có liên quan phiên có thể được đọc từ cácSơ lược về dòng của vết. Nếu đó là một giao thức lớp cao hơn (NBT, SMB»Telnet, FTP, vv), bạn sẽ phải nhìn trong gói cho cờ TCP,acks và dãy số.

Hành vi Re-Transmission

(từ "TCP/IP chi tiết thực hiện")

TCP bắt đầu một bộ đếm thời gian re-transmission khi mỗi đoạn ra bên ngoài bàn giaoxuống để IP. Nếu không có sự thừa nhận đã nhận được cho các dữ liệu trong một nhất địnhđoạn trước khi bộ đếm thời gian hết hạn, sau đó các phân đoạn retransmitted, lên đếnTcpMaxDataRetransmissions lần. Giá trị mặc định cho tham số nàylà 5.

Bộ đếm thời gian re-transmission được khởi tạo với 3 giây khi một kết nối TCPđược thành lập; Tuy nhiên nó được điều chỉnh "on the fly" để phù hợp với cácđặc tính của kết nối bằng cách sử dụng thời gian chuyến đi vòng Smoothed (SRTT)tính toán như mô tả trong RFC793. Bộ đếm thời gian cho một phân đoạn nhất định làtăng gấp đôi sau mỗi re-transmission của phân đoạn đó. Sử dụng thuật toán này,TCP giai điệu chính nó để sự chậm trễ "bình thường" của kết nối. Các kết nối TCPqua liên kết chậm trễ cao sẽ mất lâu hơn nữa cho thời gian thực so với những người trong thấp-liên kết chậm trễ.

Water clip sau đây cho thấy các thuật toán re-transmission cho hai máy chủkết nối qua Ethernet trên cùng một mạng con. Một FTP tập tin chuyển đổi trongtiến bộ, khi máy chủ nhận được ngắt kết nối từ mạng. Kể từSRTT cho kết nối này là rất nhỏ, re-transmission đầu tiêngửi sau khoảng một nửa thứ hai. Bộ đếm thời gian sau đó tăng gấp đôi cho mỗire-transmissions sau đó. Sau khi re-transmission thứ năm, cácbộ đếm thời gian một lần nữa tăng gấp đôi, và nếu không có sự thừa nhận đã nhận được trước khi nóhết hạn, sau đó chuyển giao bị bỏ dở.
delta source ip  dest ip   pro flags  description--------------------------------------------------------------0.000 10.57.10.32 10.57.9.138 TCP .A...., len: 1460, seq: 8043781, ack:8153124, win: 87600.521 10.57.10.32 10.57.9.138 TCP .A...., len: 1460, seq: 8043781, ack:8153124, win: 87601.001 10.57.10.32 10.57.9.138 TCP .A...., len: 1460, seq: 8043781, ack:8153124, win: 87602.003 10.57.10.32 10.57.9.138 TCP .A...., len: 1460, seq: 8043781, ack:8153124, win: 87604.007 10.57.10.32 10.57.9.138 TCP .A...., len: 1460, seq: 8043781, ack:8153124, win: 87608.130 10.57.10.32 10.57.9.138 TCP .A...., len: 1460, seq: 8043781, ack:8153124, win: 8760				

Sau khi máy tính "X" retries đang kiệt sức, bạn có thể không thấy "Đặt lại" quyềnđi. Nếu máy tính "Y" cuối cùng đã đáp ứng, máy tính "X" có thể sau đó thiết lập lại cáckết nối.

Cửa sổ trượt

Trong thời gian bắt tay, kích thước cửa sổ gửi được thiết lập để máy chủ khácnhận cửa sổ. Kích thước cửa sổ là một bộ đệm và là số lượng dữ liệu cácngười gửi có thể gửi và người nhận có thể nhận được mà không có một ack. "Cửa sổ"có thể trượt về phía trước sau khi gói đó được thừa nhận.

Với một cửa sổ nhận của 8760, người gửi có thể gửi 8760 byte trước khinhận được một ack. Người nhận có thể ack mỗi gói, mỗi gói kháchoặc 8760 toàn bộ phụ thuộc vào IP ngăn xếp và thời gian. (Xem bị trì hoãn AckBộ đếm thời gian, và bộ đếm thời gian Retransmit) Windows NT sẽ ack mỗi gói khác. Nếucác gói đang đến rất nhanh, bạn có thể xem Windows NT ack nhiều hơn 2các gói. Nếu đẩy chút thiết lập, dữ liệu sẽ được phát cho các ứng dụngngay lập tức, nhưng ack vẫn có thể bị chậm trễ.

Số thứ tự trong khung 51 là 349349990. Ack trong khung 57 là349358750. Điều này là một chuỗi số từ khung 51 cộng với số lượngnhận dữ liệu trong khung 51 56 thông qua (6 khung x 1460 = 8760). Ngoài ra, cácack 349358750 là một dãy số của gói dữ liệu tiếp theo mà máy chủ lưu trữhy vọng sẽ nhận được.
Frame  Time  Src Other Addr Dst Other Addr Protocol Description---------------------------------------------------------------------50   3.923  157.57.11.169  157.57.24.193  TCP    .A...., len:0, seq: 356870796, ack: 349349990, win: 8760,51   3.924  157.57.24.193  157.57.11.169  FTP    Data Transfer ToClient, Port = 1636, size 1460+ TCP: .A...., len: 1460, seq: 349349990, ack: 356870796, win: 8760, src:20 dst: 163652   3.940  157.57.24.193  157.57.11.169  FTP    Data Transfer ToClient, Port = 1636, size 146053   3.941  157.57.24.193  157.57.11.169  FTP    Data Transfer ToClient, Port = 1636, size 146054   3.943  157.57.24.193  157.57.11.169  FTP    Data Transfer ToClient, Port = 1636, size 146055   3.944  157.57.24.193  157.57.11.169  FTP    Data Transfer ToClient, Port = 1636, size 146056   3.946  157.57.24.193  157.57.11.169  FTP    Data Transfer ToClient, Port = 1636, size 146057   3.947  157.57.11.169  157.57.24.193  TCP    .A...., len:0, seq: 356870796, ack: 349358750, win: 4096,				

Kích thước cửa sổ cũng được sử dụng để kiểm soát dòng chảy. Nếu một máy chủ lưu trữ là quảng cáo mộtKích thước cửa sổ nhỏ hơn khi bộ đệm của nó làm đầy, hoặc một kích thước cửa sổ của 0 nếunó có thể không nhận được dữ liệu ở tất cả. Trong khung 50 ở trên, máy chủ lưu trữ là quảng cáomột kích thước cửa sổ của 8760 và trong khung 57 nó đã được giảm xuống 4096.

Cổng, kết nối, và hai điểm cuối

Cảng số xác định điểm đến cuối cùng trong một máy tính. Kết nốiđược xác định bởi một cặp hai điểm cuối. Một điểm cuối là chủ (nhà, cảng). Ví dụ:(199.199.40, 21)

Số lượng cổng

Số lượng cổng được chia thành ba dãy: các cảng nổi tiếng, các cổng đã đăng ký, và năng động và/hoặc tư nhân cổng. Các cảng nổi tiếng là những từ 0 thông qua 1023.The đăng ký cảng là những từ 1024 thông qua 49151. Năng động và/hoặc tư nhân cổng là những người từ 49152 qua 65535.

Nổi tiếng cổng được chỉ định bởi Internet gán số thẩm quyền (IANA) vàchỉ nên được sử dụng bởi hệ thống các quy trình, hoặc bằng các chương trình thực hiện bởi priviledgedngười sử dụng. Một ví dụ về loại cổng là 80/TCP và 80/UDP. Những cổng nàypriviledged và dành riêng cho việc sử dụng của giao thức HTTP.

Đăng ký cảng được liệt kê bởi IANA và trên hầu hết hệ thống có thể được sử dụng bởingười dùng chuẩn quy trình hoặc chương trình thực hiện bởi người sử dụng bình thường. Một ví dụ vềloại cổng là 1723/TCP và 1723/UDP. Mặc dù các cổng có thể được sử dụng bởikiểm soát các quá trình khác nói chung được chấp nhận như là kết nối cổng choĐiểm đến điểm đào hầm giao thức (PPTP).

Năng động hoặc tư nhân cổng có thể được sử dụng bởi bất kỳ quá trình hoặc người sử dụng. Họ làkhông giới hạn.

IANA duy trì một danh sách các cổng vào trang Web của họ tại:Microsoft cung cấp thông tin liên hệ của bên thứ ba để giúp bạn tìm kiếm trợ giúp kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không thông báo. Microsoft không bảo đảm độ chính xác về thông tin liên hệ của bên thứ ba này.

Theo dõi đọc lời đề nghị

Theo một phiên làm việc bằng cách sử dụng nguồn và điểm đến địa chỉ IP và cổng số.Nếu bạn tìm thấy một thiết lập lại, tập trung vào các số thứ tự và acks tiến hànhnó. Sử dụng một máy tính để xem những gì ack tương ứng với những gì dữ liệu được gửi.Phiên bản mới hơn của NetMon sẽ làm các tính toán cho bạn. Là người gửilàm retries? Lưu ý số retries và thời gian trôi qua. Mặc địnhsố retries là 5. Người nhận yêu cầu cho một khung nhỡ bởi ACKingmột số thứ tự trước đó? Đã làm người gửi sao lưu và gửi lại trước đógói? Một đặt lại có thể được gây ra bởi time-outs ở lớp TCP hoặc bởi outs thời giangiao thức lớp cao hơn. Resets có nguồn gốc ở lớp TCP nêndễ dàng để đọc từ vết. Nó có thể khó khăn hơn để xác định cácnguyên nhân của Resets có nguồn gốc từ các giao thức lớp cao hơn.

Ví dụ, một máy chủ tin nhắn chặn (SMB) đọc có thời gian ra trong 45 giâyvà gây ra một thiết lập lại của phiên họp mặc dù liên lạc là chậm nhưnglàm việc tại các lớp TCP. Dấu vết có thể chỉ thu hẹp xuống thành phần những gì làlỗi. Từ đó bạn có thể cần phải sử dụng các phương pháp xử lý sự cố khác đểxác định nguyên nhân.

Để xem trình tự TCP khi giao thức higher-level có mặt, bắt đầuMạng lưới giám sát và thực hiện theo các bước sau:
 1. Nhấp vào chụp, và sau đó chọn hiển thị chiếm được dữ liệu.
 2. Nhấp vào hiển thị, và sau đó chọn tùy chọn.
 3. Chọn tự động (dựa trên giao thức trong hiển thị lọc), và sau đó bấm OK.
 4. Nhấp vào hiển thị, và sau đó chọn lọc.
 5. Bấm đúp vào giao thức = bất kỳ.
 6. Nhấp vào tab giao thức, và sau đó nhấp vào vô hiệu hoá tất cả.
 7. Trong hộp danh sách các giao thức bị vô hiệu hoá, chọn TCP.
 8. Bấm vào bật, rồi bấm OK.
 9. Bấm OK.
THAM KHẢO
TCP/IP minh họa Volume 1; W. Richard Stevens
TCP/IP minh họa tập 2; Gary R. Wright và W. Richard Stevens
Internetworking với TCP/IP Volume 1; Douglas E. Comer
Internetworking với TCP/IP tập 2; Douglas E. Comer và David L. Stevens
"TCP/IP chi tiết thực hiện"; Dave MacDonald

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 169292 - Xem lại Lần cuối: 12/04/2015 17:07:47 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

 • kbnosurvey kbarchive kbinfo kbmt KB169292 KbMtvi
Phản hồi