要學習網絡分析技術,需要有一定的網絡基礎知識,現在,我和大家來討論OSI以及TCP、IP協議的故障分析。說到OSI參考模型,肯定大家都非常瞭解,我們之所以還要再做介紹,是因爲這是網絡中最基礎同時也是最重要的知識之一,所以,以下我們就首先討論OSI參考模型。
1、 OSI參考模型
OSI參考模型的來源以及每個層次的作用肯定大家都非常熟悉,要理解OSI參考模型,就需要對以太網的幀結構有詳細的瞭解,關於這方面的內容,大家可以參考:([url]http://www.csna.cn/viewthread.php?tid=10212[/url]),也可以搜索,有很多相關的資料。現在,我們通過下圖來了解數據在網絡中是怎樣進行封裝的。
從上圖就能夠非常直觀的看出數據在傳輸時封裝的全過程:假如有主機A和主機B,當有數據需要在兩個主機之間進行傳輸時,由於數據一直要傳到物理層,因此每一層都會在此數據前加上該層的頭和控制信息。如上圖所示:發送端主機的數據在應用層加上應用層報頭髮到表示層,表示層將此數據和應用層報頭當作一個普通數據再加上自己的報頭傳到下層,如此層層封裝直至物理層以位的形式傳輸。由於發送端主機爲接收主機的對等層提供了對應的頭和控制信息,所以,接收主機對數據的處理過程與發送主機相反,每一層都是去掉自己的頭信息然後將數據上傳,直到應用層,應用層再去掉它本身的頭和控制信息,將數據交由應用程序處理。這就是數據在網絡中封裝與解封的全過程。
綜上所述,理解OSI參考模型,我們只需要記住2點,訪問服務點以及對等層通訊。
a) 訪問服務點。每一層爲上層提供訪問服務點(SAP,Services Access Point),也就是說,每一層的報頭中,都一個字段用來區分上層協議。如數據鏈路層的Type或Length,0x0800表示上層是IPv4,0x86DD表示上層是IPv6;
b) 對等層通訊。這在前面也提到過,由於發送端主機爲接收端主機的對等層提供了對應的頭和控制信息,所以,發送端某一層的數據封裝,接收端要同一層才能將該數據解封裝。
對於OSI參考模型我們就討論到這裏,對各層運行的常見的協議我們會在後續的內容中分析。
2、 常見協議故障分析
對於TCP、IP等常見協議的解碼,論壇裏的相關文章非常多,大家可以搜索一下,內容
都是非常豐富的。在這裏,我主要和大家一起討論這些常見的協議在網絡分析中的故障分析(以科來網絡分析系統爲例)。
在科來網絡分析系統的專家診斷中,系統將診斷出的網絡故障自動按OSI模型的層次分類,對於傳輸層和網絡層,我們主要來分析一下TCP和IP協議的常見故障分析。我們首先來看傳輸層。
在傳輸層中,由於TCP協議的特殊性(相對UDP而言),往往出現的故障較多,但是最常見也比較重要的故障信息有TCP快速重傳數據包、TCP端口掃描、TCP連接被拒絕、TCP重複的連接嘗試等,當然,一旦網絡中出現這些故障提示,也不能說明網絡中一定存在故障。我們可以從這些故障提示中進行進一步分析以確定具體的原因(如感染蠕蟲病毒等)。以TCP重複的連接嘗試爲例,當專家診斷中出現這種故障提示並且計數非常多的話,我們就應該定位源主機具體分析,如果該主機感染蠕蟲病毒,則會快速掃描網絡中的其他主機開放的端口以便進行連接從而感染其他主機。當被掃描主機未開機或未開啓某個服務,或者數據包被防火牆阻斷,這時,該主機就會產生重複的TCP連接以視圖感染其他主機。針對這類故障,除了在專家診斷中得到提示,並且,需要結合其他視圖區綜合分析才能進一步確定是感染病毒或是人爲的主機掃描等,如通過概要統計視圖的TCP數據包和TCP連接數以及會話視圖的TCP會話,包括端點視圖下的網絡連接,這些信息都爲我們分析網絡故障提供了很好的參考數據。
而對於網絡層,除了ICMP的故障信息,最常見的就是IP地址衝突、IP數據包生存週期太短。對IP地址衝突,這非常明顯,能夠很快的判斷問題所在。如果排除IP地址盜用***,那麼可能是IP地址配置錯誤或者是DHCP服務器有問題。對於IP數據包生存週期太短,我們則可以首先檢查是否目標IP地址是否爲組播地址,如當主機開啓了UPnP服務,該服務使用SSDP(簡單服務發現協議),這時,主機就會不斷的發送組播數據包,而這種數據包的TTL爲1,所以,在專家診斷的網絡層,會出現這類故障提示;還有一種情況,如果網絡存在環路,也會產生這樣的故障。因爲IP數據包每經過一跳路由,其TTL都會減1,所以,當出現這種故障提示的時候,除了檢查主機問題,我們還應該檢查網絡結構或路由配置是否正確。