在網路分析技術的學習中,熟悉網路中常見協議的報頭結構是非常必要的,當我們在分析網路故障時候,運用這些知識,才能更快的查詢問題。在網路分析中,我們最常見到的協議有tcp、ip、arp、icmp、udp等,在乙太網中,tcp、ip這兩個協議應該是最基礎同時也是最重要的兩個協議,對其報頭結構,我們也應該非常熟悉。如tcp協議的序列號、確認號、標誌位、視窗等等欄位都是非常重要的,而對於ip協議的報頭,同樣有非常重要的字段,今天,我將和大家討論和分析ttl欄位,這對於我們在查詢網路故障、分析網路結構時都能起到很關鍵的作用。
ip協議的報頭結構如下圖所示:對於每個欄位的作用,我們就不做介紹,相信大家都已經比較熟悉了。我們主要討論其中的ttl欄位。
ttl欄位
ttl(time to live),即生存時間,該欄位表示乙個ip資料報能夠經過的最大的路由器跳數,ttl欄位是由ip資料報傳送端初始設定的,每個處理該資料報的路由器都需要將其 ttl值減1,即當乙個ip資料報每經過乙個路由時,其ttl值會減1,當路由器收到乙個ttl值為0的資料報時,路由器會將其丟棄。因此,ttl欄位的目的是就是為了防止1個ip資料報網路中迴圈的流動。例如,當路由器的路由表配置錯誤或網路裝置接線錯誤是,則可能會造成網路環路,在這種情況下,路由器可能根據其路由表將該資料報一直迴圈**下去,導致ip資料報一直在網路中傳送,因此,就需要一種機制來給這些迴圈傳遞的資料報上加上乙個生存上限,以保證資料報不會無休止的傳送,ttl欄位正是用於實現這種機制的一種手段。
下圖為科來網路分析系統對ip資料報的解碼:
當我們在分析資料報的過程中如果發現ttl=1的ip資料報或者在科來網路分析系統
第1頁的診斷下看到ip資料報生存週期太短的事件(組播資料報除外)時,我們就應該懷疑網路中是否存在環路了。對於網路環路的分析,我們還應該結合報頭中的標識欄位來查詢,如果發現資料報的識別符號都相同,並且ttl值一直在遞減,那麼說明網路中一定存在環路的故障,這時,就應該檢查網路裝置是否出現有接錯線或者路由配置出現問題。
檢查是否有路由裝置
我們都知道,當乙個ip資料報經過三層路由裝置時,該裝置在**時會將該資料報的ttl值減1,因此,我們可以根據抓取資料報的ttl值來判斷該資料報是否經過了路由裝置。這種情況在對分析網路故障時,也許不如查詢網路環路時效果那麼直接,但是在一些比較特殊的網路管理中,我們需要知道某些資料報是否經過了路由裝置,例如,在乙個對網路訪問限制較為嚴格的網路環境中,如果有人利用ip做nat,間接的訪問受限的網路資源,這樣很可能會帶來嚴重的網路安全問題,這種情況下,我們就可以在網路中部署網路分析系統,如科來網路分析系統,捕獲網路中傳輸的資料報,通過檢視資料報的ttl值來判斷網路中是否存在nat裝置,從而定位出越權訪問的主機。
此外,在科來網路分析系統的專家診斷中,在網路層下有ip資料報生存週期太短這樣乙個網路事件,通常情況下,這是由於組播應用時,源位址發出了ttl為1的資料報,或者某些組播應用如ssdp協議,如果主機開啟了這項服務,則會定期向目標位址為:
239.255.255.255,埠1900傳送組播資料報,這時,科來抓到這樣的資料報時,會給出ip資料報生存週期太短的故障提示。
附很多組播應用為將多播資料限制在乙個區域網內會將其 ttl 值設為 1;還有些特殊的區域網應用考慮到資訊的安全性,不希望將其跨路由傳輸到區域網以外的網路,其可能會將其ttl設定為1;路由裝置在收到ttl為0或1的資料報時,路由是不會**這個資料報的,主機如果收到ttl為0或1的資料報則提交給上層應用程式處理。
總結ttl值對我們在進行網路故障分析時能起到很關鍵的作用,呵呵,個人認為,網路分析技術需要我們掌握很多網路知識,所以,只有不斷的學習,才能運用這項技術管理好我們的網路。希望各位兄弟能多多交流,一起學習、進步。
ttl預設為155,當資料報沒經過乙個路由器時,在離開路由的封裝地3層協議是ttl減1,當ttl值為0是,是為該目的網段不可達,資料報丟棄
使用ttl分析網路故障
一、ttl簡介
ttl,全稱是time to live,中文名為生存時間,它是ip報頭中乙個非常重要的引數。通過ttl的值,我們可以判斷出當前網路ip層的工作狀況。
ttl告訴網路中的路由器資料報在網路中的時間是否太長而應被丟棄,ttl的最初設想是確定乙個時間範圍,超過此時間就把包丟棄。由於資料報每經過乙個路由器時,ttl值都會至少被路由器減1,所以ttl值通常表示包在被丟棄前還能最多經過的路由器個數。當ttl值為0時,路由器丟棄該資料報,並傳送乙個icmp報文給資料報的最初傳送者。
有很多原因會導致資料報在一定時間內不能被傳遞到目的地。例如,不正確的路由表配置可能導致資料報的無限迴圈,而解決方法就是在一段時間後丟棄這個資料報,然後給傳送者傳送乙個報文,由傳送者決定是否重發該資料報。當網路出現這種情況時,資料報就會在路由表中配置錯誤的路由器處重**送,每傳送一次,ttl值減1,直到ttl為0時路由器丟棄該資料報,造成網路中資料傳輸錯誤。
作業系統和傳輸協議不同,對應ttl的預設值也不同。表1列出了常見作業系統通過tcp 和udp協議傳輸時的ttl預設值。
(表1 不同作業系統的ttl預設值)
二、檢視資料報的ttl值並分析傳輸故障
網路中的網路裝置,其內部都是由作業系統進行處理的(有些硬體裝置將系統預裝在了硬體晶元裡面),在網路遇到傳輸故障時,我們可以使用網路檢測軟體,結合上表的資訊對網路中流通的資料報進行檢測,檢視資料報的ttl值,以確定故障是否由錯誤的路由等原因引起。圖1是使用科來網路分析系統5.0檢視乙個資料報ttl值的情況。
(圖1 科來網路分析系統5.0檢視到的ttl值)
圖中的生存時間(ttl)是247,結合表1,確定出這個資料報在從源端(這裡是61.139.2.
69)到目的端(這裡是192.168.10.
44)共經歷了255-247=8個路由器,且在傳輸過程中未出現故障。
注意:1. 確定資料報在網路中經歷了多少個路由器,可用資料報源端裝置的ttl預設值減去捕獲到的資料報ttl值;
2. 在不知道資料報源端裝置的預設ttl時,一般用大於捕獲資料報的ttl,且最接近這個ttl的預設值。
3. ttl字段長1個位元組,所以ttl的最大值255;
通過檢視資料報的ttl,可以確定網路傳輸是否正常。如果捕獲到的資料報的ttl值過小,則表示網路中很可能存在傳輸故障,應及時檢查網路中三層裝置的路由表配置,以及各主機上的路由表資訊。
雙絞線8根線的作用
rj45水晶頭由金屬片和塑料構成,製作網線所需要的rj一45水晶接頭前端有8個凹槽,簡稱 8p position,位置 凹槽內的金屬觸點共有 8個,簡稱 8c contact,觸點 因此業界對此有 8p8c 的別稱。事實上10m乙太網的網線只使用 1 2 3 6編號的芯線傳遞資料,即1 2用於傳送,...
成本控制作用指導書8ok
1 目的 對本企業工程專案管理成本和工位過程控制成本進行控制,以達到降低生產成本 提高顧客滿意度的目標。2 範圍 本檔案適用於工程專案管理成本和工位過程控制成本的控制。3 引用檔案 下列檔案中的有關條款通過引用而成為本檔案的條款。凡注日期或版次的引用檔案,其後任何修改單 不包括勘誤的內容 或修訂版都...
8《力》知識總結
力的作用效果 1 力的概念 力是物體對物體的作用。2 力產生的條件 必須有兩個或兩個以上的物體 物體間必須有相互作用 可以不接觸 3 力的性質 物體間力的作用是相互的 相互作用力在任何情況下都是大小相等,方向相反,作用在不同物體上 兩物體相互作用時,施力物體同時也是受力物體,反之,受力物體同時也是施...