第三讲 网络监测、诊断与数据捕获 (1)

1、网络测试的基本概念以科学的方法，通过测量手段或工具，取得网络产品或正在运行网络的性能参数和服务质量参数，这些参数能够为网络性能的改善提供依据，为网络运营及管理提供指导，为网络设备或产品研发提供支持。可用性、差错率、吞吐量、时延、丢包率、连接建立时间、故障检测和修正时间网络测试常用命令（Windows版）ping：在线连通性测试命令在TCP/IP网络管理工具中，Ping是网络管理员最常用的一个工具，我们经常使用“Ping ”、“Ping ”、“Ping ”，而不常使用“Ping ”，那么这些命令分别有何种功能？ 某大型园区网，由若干路由器构成其主干，有两台Windows 200

2、0主机无法通信，怀疑是其中某个路由器故障或配置错误引起的，网络管理员应该用什么命令来找到这台路由器？tracert：路由跟踪探测命令网络测试常用命令（Windows版）netstat：本机网络状态检测命令为了分析一台安装了Windows Server 2003服务器的网络流量，使用查看网络状态信息工具netstat。如果想每30秒统计一下TCP连接情况，请写出完整的带参数命令。ipconfig：本机IP配置状态命令net：查看本地网络计算机上的用户列表、添加和删除用户、启动和停止网络服务等网络流量分析对在网络中传输的实际数据流进行分析，包括从底层的数据流到应用层数据的分析。网络流量分析是网络分

3、析的子集。网络流量分析的基础是网络协议分析。网络流量分析具有累积性。案例I：某办公自动化OA的流量评估 从启动到登录完成所从启动到登录完成所产生的网络流量产生的网络流量（用（用sniffer pro分析分析 ）案例II：对视频会议的应用流量评估测试网络性能的工具ntopWildpackets公司的omni peekWireShark端口扫描端口扫描技术是漏洞扫描技术的起源实质：通过连接到系统的TCP或UDP端口，确定何种服务正在运行你能列举多少个已知端口的名称？端口号端口号TCP/UDP名称名称20 21TCPftp-data ftp-control23TCPtelnet25TCPSMTP53

4、TCP, UDPDNS80TCPHTTP110TCPPOP3111TCP, UDPRPC443TCPHTTPSTCP协议和TCP扫描技术IP分组中的传输控制协议TCP数据段结构 用三次握手建立 TCP 连接 SYN = 1, seq = xCLOSEDCLOSED主动打开被动打开AB客户服务器5.9.1 TCP 的连接建立A 的 TCP 向 B 发出连接请求报文段，其首部中的同步位 SYN = 1，并选择序号 seq = x，表明传送数据时的第一个数据字节的序号是 x。用三次握手建立 TCP 连接 SYN = 1, seq = xCLOSEDCLOSED主动打开被动打开AB客户服务器5.9.1

5、 TCP 的连接建立SYN = 1, ACK = 1, seq = y, ack= x 1 B 的 TCP 收到连接请求报文段后，如同意，则 发回确认。 B 在确认报文段中应使 SYN = 1，使 ACK = 1， 其确认号ack = x 1，自己选择的序号 seq = y。SYN = 1, seq = xACK = 1, seq = x + 1, ack = y 1CLOSEDCLOSED主动打开被动打开AB客户服务器SYN = 1, ACK = 1, seq = y, ack= x 1 A 收到此报文段后向 B 给出确认，其 ACK = 1， 确认号 ack = y 1。 A 的 TCP

6、通知上层应用进程，连接已经建立。 SYN = 1, seq = xACK = 1, seq = x + 1, ack = y 1CLOSEDCLOSED数据传送主动打开被动打开AB客户服务器SYN = 1, ACK = 1, seq = y, ack= x 1 B 的 TCP 收到主机 A 的确认后，也通知其上层 应用进程：TCP 连接已经建立。SYN-SENTESTAB-LISHEDSYN-RCVDLISTENESTAB-LISHED用三次握手建立 TCP 连接的各状态 SYN = 1, seq = xACK = 1, seq = x + 1, ack = y 1CLOSEDCLOSED数据

7、传送主动打开被动打开AB客户服务器5.9.1 TCP 的连接建立SYN = 1, ACK = 1, seq = y, ack= x 1FIN = 1, seq = uCLOSED主动关闭数据传送ESTAB-LISHEDESTAB-LISHEDAB客户服务器CLOSED5.9.2 TCP 的连接释放 数据传输结束后，通信的双方都可释放连接。 现在 A 的应用进程先向其 TCP 发出连接释放 报文段，并停止再发送数据，主动关闭 TCP 连接。 A 把连接释放报文段首部的 FIN = 1，其序号 seq = u，等待 B 的确认。FIN = 1, seq = uACK = 1, seq = v, a

8、ck= u 1主动关闭数据传送通知应用进程ESTAB-LISHEDESTAB-LISHEDAB客户服务器5.9.2 TCP 的连接释放 B 发出确认，确认号 ack = u 1， 而这个报文段自己的序号 seq = v。 TCP 服务器进程通知高层应用进程。 从 A 到 B 这个方向的连接就释放了，TCP 连接 处于半关闭状态。B 若发送数据，A 仍要接收。FIN = 1, seq = uACK = 1, seq = v, ack= u 1FIN = 1, ACK = 1, seq = w, ack= u 1主动关闭被动关闭数据传送通知应用进程ESTAB-LISHEDESTAB-LISHEDA

9、B客户服务器数据传送5.9.2 TCP 的连接释放 若 B 已经没有要向 A 发送的数据， 其应用进程就通知 TCP 释放连接。 FIN = 1, seq = uACK = 1, seq = v, ack= u 1FIN = 1, ACK = 1, seq = w, ack= u 1主动关闭被动关闭数据传送通知应用进程ESTAB-LISHEDESTAB-LISHEDAB客户服务器数据传送5.9.2 TCP 的连接释放 A 收到连接释放报文段后，必须发出确认。 ACK = 1, seq = u + 1, ack = w 1FIN = 1, seq = uACK = 1, seq = v, ack

10、= u 1FIN = 1, ACK = 1, seq = w, ack= u 1主动关闭被动关闭数据传送通知应用进程ESTAB-LISHEDESTAB-LISHEDAB客户服务器数据传送5.9.2 TCP 的连接释放 在确认报文段中 ACK = 1，确认号 ack w 1， 自己的序号 seq = u + 1。 ACK = 1, seq = u + 1, ack = w 1CLOSEDACK = 1, seq = u + 1, ack = w 1FIN = 1, seq = uACK = 1, seq = v, ack= u 1FIN = 1, ACK = 1, seq = w, ack= u

11、 1FIN-WAIT-1CLOSE-WAITFIN-WAIT-2LAST-ACK等待 2MSLTIME-WAIT主动关闭被动关闭数据传送通知应用进程ESTAB-LISHEDESTAB-LISHEDAB客户服务器数据传送CLOSED5.9.2 TCP 的连接释放 TCP 连接必须经过时间 2MSL 后才真正释放掉。 TCP协议和TCP扫描技术TCPTCP协议的特点协议的特点关闭的端口对关闭的端口对SYNSYN包或包或FINFIN包回应包回应RSTRST（置（置“1 1”）ACKACK包到达一个包到达一个活动活动端口，该包被丢弃，同时端口，该包被丢弃，同时回应一个回应一个RSTRST包包SYNSY

12、N包到达一个活动端口，正常三次握手，回包到达一个活动端口，正常三次握手，回应应SYN/ACKSYN/ACK包包FINFIN包到达一个活动端口，该包被丢弃包到达一个活动端口，该包被丢弃无论端口状态如何，对无论端口状态如何，对RSTRST包都不回应包都不回应TCP协议和TCP扫描技术TCPTCP扫描扫描全全TCPTCP连接：连接：直接连接直接连接到目标端口并完成到目标端口并完成一个完整的三次握手，一个完整的三次握手，有什么缺陷？有什么缺陷？TCP SYNTCP SYN扫描（扫描（TCPTCP半连接扫描半连接扫描）如果扫描主机收到的如果扫描主机收到的TCPTCP报文中报文中RSTRST置置“1 1”，表示目标主机该端，表示目标主机该端口是口是“死端口死端口”，继续探听其他端口，加快了扫描速度，继续探听其他端口，加快了扫描速度如果扫描主机收到的如果扫描主机收到的TCPTCP报文中报文中SYNSYN和和ACKACK置置“1 1”，说明目标端，说明目标端口处于口处于ListeningListening状态，接着扫描主机传送一个状态，接着扫描主机传送一个RSTRST给目标主机给目标主机拒绝建立拒绝建立TCPTCP连接，从而导致三次握手失败连接，从而导致三次握手失