8_TTL作用总结.doc

、 在网络分析技术的学习中，熟悉网络中常见协议的报头结构是非常必要的，当我们在分析网络故障时候，运用这些知识，才能更快的查找问题。在网络分析中，我们最常见到的协议有TCP、IP、ARP、ICMP、UDP等，在以太网中，TCP、IP这两个协议应该是最基础同时也是最重要的两个协议，对其报头结构，我们也应该非常熟悉。如TCP协议的序列号、确认号、标志位、窗口等等字段都是非常重要的，而对于IP协议的报头，同样有非常重要的字段，今天，我将和大家讨论和分析TTL字段，这对于我们在查找网络故障、分析网络结构时都能起到很关键的作用。关于TTL字段的分析，大家还可以参考菜青虫的“使用TTL分析网络故障：请参见： /viewthread.php?tid=618IP报头结构IP协议的报头结构如下图所示：对于每个字段的作用，我们就不做介绍，相信大家都已经比较熟悉了。我们主要讨论其中的TTL字段。TTL字段 TTL（time to live），即生存时间，该字段表示一个IP数据报能够经过的最大的路由器跳数，TTL字段是由IP数据报发送端初始设置的，每个处理该数据报的路由器都需要将其 TTL值减1，即当一个IP数据报每经过一个路由时，其TTL值会减1，当路由器收到一个TTL值为0的数据报时，路由器会将其丢弃。因此，TTL字段的目的是就是为了防止1个IP数据报网络中循环的流动。例如，当路由器的路由表配置错误或网络设备接线错误是，则可能会造成网络环路，在这种情况下，路由器可能根据其路由表将该数据报一直循环转发下去，导致IP数据报一直在网络中发送，因此，就需要一种机制来给这些循环传递的数据报上加上一个生存上限，以保证数据报不会无休止的发送，TTL字段正是用于实现这种机制的一种手段。下图为科来网络分析系统对IP数据报的解码： 当我们在分析数据报的过程中如果发现TTL1的IP数据包或者在科来网络分析系统的诊断下看到IP数据报生存周期太短的事件（组播数据报除外）时，我们就应该怀疑网络中是否存在环路了。对于网络环路的分析，我们还应该结合报头中的标识字段来查找，如果发现数据报的标识符都相同，并且TTL值一直在递减，那么说明网络中一定存在环路的故障，这时，就应该检查网络设备是否出现有接错线或者路由配置出现问题。检查是否有路由设备 我们都知道，当一个IP数据报经过三层路由设备时，该设备在转发时会将该数据报的TTL值减1，因此，我们可以根据抓取数据包的TTL值来判断该数据报是否经过了路由设备。这种情况在对分析网络故障时，也许不如查找网络环路时效果那么直接，但是在一些比较特殊的网络管理中，我们需要知道某些数据包是否经过了路由设备，例如，在一个对网络访问限制较为严格的网络环境中，如果有人利用IP做NAT，间接的访问受限的网络资源，这样很可能会带来严重的网络安全问题，这种情况下，我们就可以在网络中部署网络分析系统，如科来网络分析系统，捕获网络中传输的数据包，通过查看数据包的TTL值来判断网络中是否存在NAT设备，从而定位出越权访问的主机。 此外，在科来网络分析系统的专家诊断中，在网络层下有IP数据包生存周期太短这样一个网络事件，通常情况下，这是由于组播应用时，源地址发出了TTL为1的数据包，或者某些组播应用如SSDP协议，如果主机开启了这项服务，则会定期向目标地址为：55，端口1900发送组播数据包，这时，科来抓到这样的数据包时，会给出IP数据包生存周期太短的故障提示。附 很多组播应用为将多播数据限制在一个局域网内会将其 TTL 值设为 1；还有些特殊的局域网应用考虑到信息的安全性，不希望将其跨路由传输到局域网以外的网络，其可能会将其TTL设置为1；路由设备在收到TTL为0或1的数据包时，路由是不会转发这个数据包的，主机如果收到TTL为0或1的数据包则提交给上层应用程序处理。总结 TTL值对我们在进行网络故障分析时能起到很关键的作用，呵呵，个人认为，网络分析技术需要我们掌握很多网络知识，所以，只有不断的学习，才能运用这项技术管理好我们的网络。希望各位兄弟能多多交流，一起学习、进步。 TTL默认为155，当数据包没经过一个路由器时，在离开路由的封装地3层协议是TTL减1，当TTL值为0是，是为该目的网段不可达，数据包丢弃使用TTL分析网络故障一、TTL简介TTL，全称是Time To Live，中文名为生存时间，它是IP报头中一个非常重要的参数。通过TTL的值，我们可以判断出当前网络IP层的工作状况。TTL告诉网络中的路由器数据包在网络中的时间是否太长而应被丢弃，TTL的最初设想是确定一个时间范围，超过此时间就把包丢弃。由于数据包每经过一个路由器时，TTL值都会至少被路由器减1，所以TTL值通常表示包在被丢弃前还能最多经过的路由器个数。当TTL值为0时，路由器丢弃该数据包，并发送一个ICMP报文给数据包的最初发送者。 有很多原因会导致数据包在一定时间内不能被传递到目的地。例如，不正确的路由表配置可能导致数据包的无限循环，而解决方法就是在一段时间后丢弃这个数据包，然后给发送者发送一个报文，由发送者决定是否重发该数据包。当网络出现这种情况时，数据包就会在路由表中配置错误的路由器处重复发送，每发送一次，TTL值减1，直到TTL为0时路由器丢弃该数据包，造成网络中数据传输错误。操作系统和传输协议不同，对应TTL的默认值也不同。表1列出了常见操作系统通过TCP和UDP协议传输时的TTL默认值。（表1不同操作系统的TTL默认值）二、查看数据包的TTL值并分析传输故障网络中的网络设备，其内部都是由操作系统进行处理的（有些硬件设备将系统预装在了硬件芯片里面），在网络遇到传输故障时，我们可以使用网络检测软件，结合上表的信息对网络中流通的数据包进行检测，查看数据包的TTL值，以确定故障是否由错误的路由等原因引起。图1是使用科来网络分析系统5.0查看一个数据包TTL值的情况。（图1科来网络分析系统5.0查看到的TTL值）图中的生存时间（TTL）是247，结合表1，确定出这个数据包在从源端（这里是9）到目的端（这里是4）共经历了2552478个路由器，且在传输过程中未出现故障。注意：1.确定数据包在网络中经历了多少个路由器，可用数据包源端设备的TTL默认值减去捕获到的数据包TTL值；2.在不知道数据包源端设备的默认TTL时，一般用大于