網絡基本功（二十三）：Wireshark抓包實例診斷TCP連接問題

網絡基本功（二十三）：Wireshark抓包實例診斷TCP連接問題

 

轉載請在文首保留原文出處：EMC中文支持論壇https://community.emc.com/go/chinese 

 

介紹

 

前文論述了TCP基礎知識，從本節開始，通過TCP抓包實例來診斷TCP常見問題。

TCP進程通訊時，雙方打開連接，發送數據，最後關閉連接。當TCP打開連接時，從源端口到目的端口發送一個請求。在應用建立或關閉時可能發生一些問題。本文討論用Wireshark網絡抓包的方法來定位及解決這一問題。

更多信息

 

問題的表現形式:

 

問題可能有多種表現類型：

·         嘗試運行應用程序但發現應用程序無法工作。嘗試瀏覽網絡但無法獲得響應。

·         嘗試發送郵件但無法連接到郵件服務器。

·         問題可能由簡單原因引起，如服務器宕機，服務器上沒有運行應用程序，或在客戶端到服務器的某一處網絡斷開。

·         問題也可能由複雜原因引起，如DNS問題，服務器內存不足無法連接（例如某一應用佔用高內存空間），重複IP，以及其他原因。

處理方法:

下文會介紹解決問題的線索以及如何通過抓包來診斷TCP連接問題。通常，這些問題會導致運行應用程序時無法得到任何結果。

當你在運行一個應用程序時，例如數據庫客戶端，郵件客戶端，觀看視頻等等，而又無法獲得輸出，按照以下步驟診斷：

1.    確認服務器和應用程序正在運行。

2.    確認客戶端正在運行，IP地址已配置（手動或通過DHCP），並連接至網絡。

3.   Ping服務器並確認連接正常。

4.   在某些情況下，ping不通服務器但連接正常。這是由於防火牆攔截了ICMP信息，所以如果無法ping通並不一定表示連接有問題。防火牆可能是網絡中的專用設備或Windows/Linux/UNIX終端設備上安裝的防火牆。

5.     抓包文件中，查找以下模式：

·         三重SYN信息而沒有響應（見以下截屏）

·         SYN信息帶一個reset(RST)響應

這兩種情況下都有可能是防火牆攔截了特定應用程序或應用程序沒有在運行。

 

以下截屏是一個簡單的case：客戶端無法連接到web服務器81.218.31.171（報文61,62和63）。可能是由於不被防火牆允許，或服務器發生故障。可以看到另一個站點108.160.163.43（報文65,66和67）的連接正常，因此連接問題僅限於81.218.31.171。

 

下例是一個這種情況相對複雜的case。該case中，客戶想要登錄到camera服務器來訪問遠程站點的camera。camera服務器的IP地址爲135.82.12.1，問題在於客戶能夠看到服務器主頁上的登錄窗口，但無法登進系統。在下面的截圖中可以看到，打開了一個到IP地址135.82.12.1的連接。到HTTP服務器的TCP連接是打開的，一開始看上去沒有連接問題：

 

當我們過濾出目的IP地址爲135.82.12.1的數據流，也就是camera服務器。這裏可以看到，當嘗試連接TCP端口6036時，得到了一個RST/ACK響應，有以下可能性：

·         防火牆攔截了端口6036

·         如果配置了端口地址轉換（PAT），那麼僅轉換端口80而非6036

·         用戶名和密碼驗證是在TCP端口6036上完成的，防火牆僅允許端口80，驗證被攔截，應用無法工作

總之，當無法正常連接服務器時，檢查服務器和客戶端是否所有TCP/UDP端口都能通過網絡轉發，以及是否有未知的端口。

 

 

工作過程：

 

TCP連接開始時，發生了以下三步：

1.     客戶端TCP進程發送了一個SYN報文。該報文中SYN標誌位設置爲1。這一報文中客戶端：

·         指定自己的初始序列號。這是客戶端發送給服務器的第一個字節。

·         指明自己的窗口大小。這是客戶端分配給進程的緩存大小（位於客戶端的RAM）。

·         設置自己將要使用的選項：MSS，Selective ACK，等等。

 

2.     當服務器收到建立連接請求，服務器：

·         發送SYN/ACK給客戶端，確認接收到SYN請求。

·         指明服務器端的初始序列號。這是服務器發送給客戶端的第一個字節。

·         指明服務器的窗口大小。這是服務器分配給進程的緩存大小（位於服務器RAM）。

·         回覆請求選項並設置服務器端選項。

 

3.     當接收到服務器的SYN/ACK，客戶端：

·         發送ACK報文給服務器，確認從服務器接收到SYN/ACK.

·         指明客戶端窗口大小。儘管這一參數在第一個報文中定義過了，服務器還是會參考這個值，因爲這是最新的窗口大小。

      

       在TCP頭部的選項字段中，有以下幾個主要選項：

 

·         Maximum Segment Size（MSS）：TCP數據報的最大字節數，即從TCP頭部開始直到報文末尾的字節數。

·         Windows Scale Option (WSopt)：這一因子與TCP頭部的Window Size字段相乘，通知接收方擴大緩存。由於頭部最大窗口大小是64KB，乘以因子4也就是256KB窗口大小。

·         SACK：Selective ACK，該選項使連接雙方能夠僅確認指定報文，當單個報文丟失，只有這個報文會被重傳。連接建立時，雙方都需要同意SACK。

·         Timestamps Option（TSopt）：該參數指客戶端和服務器之間的延時。

       在這一階段，雙方：

 

·         同意建立連接

·         知道對方的初始序列號

·         知道對方的窗口大小

       在建立連接時，除了三路握手信號之外，其他都表示有問題。包括SYN沒有響應，SYN之後SYN/ACK最後沒有ACK，SYN響應爲RST，等等。

 

 

總結：

 

·         如果SYN報文收到回覆RST，則檢查攔截了port號的防火牆。

·         三次SYN而沒有任何回覆，或者是由於應用程序沒有響應，或者是由於防火牆攔截了特定端口上的請求。

·         永遠記住確認一下是否有NAT，端口轉發，以及涉及TCP和UDP端口的機制。這些機制可能會中斷TCP正常操作。

 

 

 

 

參考

 

Network Analysis Using Wireshark Cookbook