下面將列舉兩個基于網(wǎng)絡(luò)層的網(wǎng)絡(luò)故障分析案例。

分析工具：科來網(wǎng)絡(luò)分析系統(tǒng)6.0專家版(當(dāng)然大家也可以用類似的工具)

一、巧用TTL值診斷網(wǎng)絡(luò)故障

1、簡介

TTL，全稱是Time To Live，中文名為“生存時間”，它是IP報頭中一個非常重要的參數(shù)。通過TTL的值，我們可以判斷出當(dāng)前網(wǎng)絡(luò)IP層的工作狀況。

TTL告訴網(wǎng)絡(luò)中的路由器數(shù)據(jù)包在網(wǎng)絡(luò)中的時間是否太長而應(yīng)被丟棄，TTL的最初設(shè)想是確定一個時間范圍，超過此時間就把包丟棄。由于數(shù)據(jù)包每經(jīng)過一個路由器時，TTL值都會至少被路由器減1，所以TTL值通常表示包在被丟棄前還能最多經(jīng)過的路由器個數(shù)。當(dāng)TTL值為0時，路由器丟棄該數(shù)據(jù)包，并發(fā)送一個ICMP報文給數(shù)據(jù)包的最初發(fā)送者。

有很多原因會導(dǎo)致數(shù)據(jù)包在一定時間內(nèi)不能被傳遞到目的地。例如，不正確的路由表配置可能導(dǎo)致數(shù)據(jù)包的無限循環(huán)，而解決方法就是在一段時間后丟棄這個數(shù)據(jù)包，然后給發(fā)送者發(fā)送一個報文，由發(fā)送者決定是否重發(fā)該數(shù)據(jù)包。當(dāng)網(wǎng)絡(luò)出現(xiàn)這種情況時，數(shù)據(jù)包就會在路由表中配置錯誤的路由器處重復(fù)發(fā)送，每發(fā)送一次，TTL值減1，直到TTL為0時路由器丟棄該數(shù)據(jù)包，造成網(wǎng)絡(luò)中數(shù)據(jù)傳輸錯誤。

操作系統(tǒng)和傳輸協(xié)議不同，對應(yīng)TTL的默認(rèn)值也不同。圖1列出了常見操作系統(tǒng)通過TCP和UDP協(xié)議傳輸時的TTL默認(rèn)值。(圖1)　

2、查看數(shù)據(jù)包的TTL值并分析傳輸故障

網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備，其內(nèi)部都是由操作系統(tǒng)進(jìn)行處理的(有些硬件設(shè)備將系統(tǒng)預(yù)裝在了硬件芯片里面)，在網(wǎng)絡(luò)遇到傳輸故障時，我們可以使用網(wǎng)絡(luò)檢測軟件，結(jié)合上表的信息對網(wǎng)絡(luò)中流通的數(shù)據(jù)包進(jìn)行檢測，查看數(shù)據(jù)包的TTL值，以確定故障是否由錯誤的路由等原因引起。圖2是使用科來網(wǎng)絡(luò)分析系統(tǒng)5.0查看一個數(shù)據(jù)包TTL值的情況。(圖2)　　

圖中的生存時間(TTL)是247，結(jié)合圖1，確定出這個數(shù)據(jù)包在從源端(這里是61.139.2.69)到目的端(這里是192.168.10.44)共經(jīng)歷了255-247=8個路由器，且在傳輸過程中未出現(xiàn)故障。

注意：

1.確定數(shù)據(jù)包在網(wǎng)絡(luò)中經(jīng)歷了多少個路由器，可用數(shù)據(jù)包源端設(shè)備的TTL默認(rèn)值減去捕獲到的數(shù)據(jù)包TTL值;

2.在不知道數(shù)據(jù)包源端設(shè)備的默認(rèn)TTL時，一般用大于捕獲數(shù)據(jù)包的TTL，且最接近這個TTL的默認(rèn)值。

3.TTL字段長1個字節(jié)，所以TTL的最大值255;

通過查看數(shù)據(jù)包的TTL，可以確定網(wǎng)絡(luò)傳輸是否正常。如果捕獲到的數(shù)據(jù)包的TTL值過小，則表示網(wǎng)絡(luò)中很可能存在傳輸故障，應(yīng)及時檢查網(wǎng)絡(luò)中三層設(shè)備的路由表配置，以及各主機上的路由表信息。#p#

二、利用TCP標(biāo)記分析故障

1、TCP標(biāo)記簡介

TCP，全稱Transfer Control Protocol，中文名為傳輸控制協(xié)議;它工作在OSI的傳輸層，提供面向連接的可靠傳輸服務(wù)。

在TCP的報頭中，有一個TCP標(biāo)記字段，這個字段用來指出當(dāng)前這個數(shù)據(jù)包的用途。TCP連接標(biāo)記字段長6比特，共有6種不同的標(biāo)記，在一個TCP連接中可能會使用其中的多個標(biāo)記。這6種標(biāo)記是：

(1).緊急(Urgent，簡稱URG)：通知對方主機該TCP數(shù)據(jù)包中包含有緊急數(shù)據(jù);

(2).確認(rèn)(Acknowledgement,簡稱ACK)：用來確認(rèn)接收到對方主機的TCP數(shù)據(jù)包;

(3).急迫(Push，簡稱PSH)：通知對方主機立即將該數(shù)據(jù)包送往上層協(xié)議;

(4).重置(Reset，簡稱RST)：表示此TCP連接已被對方主機重新啟動;

(5).同步(Synchronization，簡稱SYN)：用來建立和對方主機的TCP連接;

(6).終止(Finish，簡稱FIN)：用來關(guān)閉TCP連接。

不同數(shù)據(jù)包中的TCP 標(biāo)記可能相同，也可能不同，通過數(shù)據(jù)包的解碼，可以知道當(dāng)前數(shù)據(jù)包正在進(jìn)行的操作及其作用。如TCP三次握手的第一步會將同步位置為1;第二步會同時將確認(rèn)位和同步位置為1;第三步會將確認(rèn)位置為1。根據(jù)TCP標(biāo)記的特性，我們可以利用它分析網(wǎng)絡(luò)中常見的網(wǎng)絡(luò)應(yīng)用故障。

2、利用TCP標(biāo)記分析網(wǎng)絡(luò)故障

當(dāng)遇到目標(biāo)主機的某TCP服務(wù)不能訪問時，我們可以通過對其訪問的過程進(jìn)行抓包分析，從而找出不能訪問的原因，下面我們用科來網(wǎng)絡(luò)分析系統(tǒng)6.0，以分析Telnet為例說明分析的方法。

圖3是在Windows客戶端(客戶端主機名為lw)上使用Telnet命令訪問其他主機的情況。從圖3的返回結(jié)果可知，兩臺主機的Telnet服務(wù)都不能正常訪問，但我們無法確定不能訪問的原因，是因為網(wǎng)絡(luò)不通，還是這臺主機沒有提供Telnet服務(wù)。(圖3)　　

注意：

(1).這里使用的Telnet命令是在假定目標(biāo)服務(wù)器使用默認(rèn)的端口配置，即Telnet服務(wù)器端口是TCP 23;

(2).可能有些用戶想到使用Ping命令測試網(wǎng)絡(luò)的連通性，但由于承載Ping命令的ICMP協(xié)議可以導(dǎo)致一些非法攻擊，對網(wǎng)絡(luò)的安全會造成一定的威脅，使得某些ISP廠商或者網(wǎng)絡(luò)管理員都在他們的三層設(shè)備處禁用了ICMP協(xié)議的轉(zhuǎn)發(fā)。在這種情況下，使用Ping命令便無法準(zhǔn)確測試主機的連通性。

圖4是在WINDOWS客戶端使用Telnet命令訪問192.168.2.10主機時，科來網(wǎng)絡(luò)分析系統(tǒng)6.0捕獲到的數(shù)據(jù)包信息。(圖4)　

從圖4可知，使用Telnet命令訪問192.168.2.10主機時，兩主機間共有三個數(shù)據(jù)包通信，仔細(xì)查看數(shù)據(jù)包及其解碼，發(fā)現(xiàn)三個數(shù)據(jù)包都是從客戶端發(fā)往192.168.2.10主機的，三個數(shù)據(jù)包的確認(rèn)號都是0，且都將TCP標(biāo)記中的同步位置1，表明三個數(shù)據(jù)包都是TCP三次握手的第一步，即TCP同步數(shù)據(jù)包。沒有從192.168.2.10發(fā)往客戶端的數(shù)據(jù)包，說明此時客戶端與192.168.2.10主機在物理鏈路上不通，可能是網(wǎng)絡(luò)中沒有IP地址為192.168.2.10這臺機器，或者這臺機器沒有開機。#p#

圖5是在WINDOWS客戶端使用Telnet命令訪問192.168.2.100主機時，科來網(wǎng)絡(luò)分析系統(tǒng)6.0捕獲到的數(shù)據(jù)包信息。(圖5)　

從圖5可知，使用Telnet命令訪問192.168.2.100主機時，兩主機間共有6個數(shù)據(jù)包通信，仔細(xì)查看數(shù)據(jù)包及其解碼，發(fā)現(xiàn)1,3,5這三個數(shù)據(jù)包是從客戶端發(fā)往192.168.2.100主機的，這三個數(shù)據(jù)包的確認(rèn)號是0，TCP標(biāo)記是同步位置1，表明三個數(shù)據(jù)包都是TCP三次握手的第一步，即TCP同步數(shù)據(jù)包。2,4,6這三個數(shù)據(jù)包是從192.168.2.100主機發(fā)往客戶端的，這三個數(shù)據(jù)包的確認(rèn)號是確認(rèn)號2643478089，TCP標(biāo)記是確認(rèn)位和重置位同時置1，表示這三個數(shù)據(jù)包都是192.168.2.100對客戶端的確認(rèn)數(shù)據(jù)包，同時它拒絕了客戶端的建立連接的TCP同步請求，告訴客戶端當(dāng)前主機(這里是192.168.2.100)沒有打開客戶端請求的服務(wù)，并中斷這個連接。

注意：我們發(fā)現(xiàn)在圖4和圖5中，客戶端都向服務(wù)器(這里是192.168.2.10和192.168.2.100)發(fā)送了三次相同的TCP SYN請求，這是為什么呢?其實這是TCP的協(xié)議規(guī)定造成的，當(dāng)客戶端使用TCP SYN向服務(wù)器發(fā)起三方握手的第一步后，如果沒有收到服務(wù)器的SYN/ACK響應(yīng)，就會在等待一段時間后再次嘗試對服務(wù)器進(jìn)行連接，如果連接三次后仍然失敗，則不會再重復(fù)此操作，所以我們在圖中看到了三次完全一樣的TCP SYN數(shù)據(jù)包。

通過對上面兩種情況的抓包分析，我們可知道，192.168.2.10主機不能訪問的原因是兩臺主機之間的物理鏈路不通，可能是不存在192.168.2.10這臺機器，或者192.168.2.10處于關(guān)機狀態(tài)等。而192.168.2.100不能訪問的原因是192.168.2.100這臺機器沒有提供客戶端請求的Telnet服務(wù)，即沒有打開TCP 23端口。

總結(jié)

當(dāng)然，筆者列舉的兩個應(yīng)用案例只是個案。其實這種方法適用于中所有的TCP服務(wù)，用戶在遇到不能訪問某服務(wù)器(各種TCP應(yīng)用的服務(wù)器)時，便可使用這種方法對數(shù)據(jù)包進(jìn)行跟蹤分析，幫助用戶對故障進(jìn)行排查。這樣，管理員從網(wǎng)絡(luò)層把握網(wǎng)絡(luò)故障，就能夠不受故障表象的影響，從而盡快排除故障，利于提高工作效率。

【編輯推薦】

1. 專題：網(wǎng)絡(luò)故障排除寶典
2. 局域網(wǎng)常見網(wǎng)絡(luò)故障及排除策略