- 博客(14)
- 收藏
- 关注
RSS订阅转载 TCP异常流量标记详解(2)理解科来中的三种重复ACK标记——科来CSNA流量分析工具异常流量标记系列
简单来说,符合以下几个条件的TCP ACK报文可被视为“重复ACK”,如图1所示:①TCP分段负载为0;②当前报文的TCP序列号等于上一个报文的TCP下一个序列号;③当前报文的TCP确认号等于上一个报文的TCP确认号;④当前报文的IP ID大于上一个报文的IP ID。稍显不严谨但通俗易懂的说法就是:与上一个纯ACK报文序列号一致并且确认序列号一致的纯ACK报文,但IPID更大。图2如图2所示,序号30的报文被标记为“重复ACK”。
2024-12-15 23:00:21
118
转载 TCP异常流量标记详解(1)解析科来中的三种TCP丢包异常标记——科来CSNA流量分析工具异常流量标记系列
如图4,以①中的两个报文为例解释,“序号”表示在这个TCP会话中报文的捕获顺序分别为444、445,“相对时间”表示第444个报文相对于捕获这个TCP会话第一个报文的时间经过了1.611948000秒;如图5所示,序号444的报文①Next seq=2424585193,序号447的报文②Seq=2424586653 > 2424585193,因此CSNAS统计“可能丢包”,序号451的报文③Seq=2424585193=①,因此被标记为“乱序”,说明该报文并未丢失,只是网络传输的顺序乱了。
2024-12-15 22:57:37
208
转载 从时序图看TCP故障(7)TCP三次握手与RTT——科来CSNA流量分析工具运维故障分析系列
实际上,将两项结果相加,为Time3-Time2与Time2-Time1之和,即Time3-Time1的结果,因此在进行客户端与服务器间RTT计算时,可以省略相加过程,直接计算Time3-Time1的结果。如上图所示:抓包点看到SYN包的相对时间为0.000000秒,记作Time1,看到SYN/ACK包的时间为0.115283秒,记作Time2,看到ACK包的时间为0.115444秒,记作Time3。数据包经过抓包点后,到达客户端,客户端返回数据包,再经过抓包点时所花费的时间。
2024-12-15 22:47:07
90
转载 从时序图看TCP故障(6)TCP端口复用与Time_Wait——科来CSNA流量分析工具运维故障分析系列
两条会话的时间,第一条会话时间在16:19:35(会话最后一个ACK包出现时间),第二条会话开始时间为16:20:06(会话连接建立阶段SYN包出现时间),两条会话使用相同五元组,时间相差31秒,时间差小于240秒。端口复用是一个或多个客户端,使用相同的IP和端口,访问同一台服务器的相同IP端口,这两条TCP会话的五元组(源IP、源端口、目的IP、目的端口、协议)完全一致,发生冲突,是一种TCP通信中的异常现象。对比两条会话的ack确认号,能够发现失败会话与原始会话的ack号实际是一致的。
2024-12-01 23:54:26
141
转载 从时序图看TCP故障(5)四次挥手与连接断开——科来CSNA流量分析工具运维故障分析系列
图3描述了一个典型的半关闭情况。客户端接收到应用层的连接断开指令,向服务器发送一个带有FIN标志位的TCP包,由于连接断开之前已经产生过数据交互,因此该TCP包必须同时携带一个ACK标志位,关于第一次挥手包的序列号和确认号,假设包的Seq号为X,Ack号为Y,无载荷数据。如图3所示,服务器发送了69号FIN/ACK包,客户端响应70号ACK包,此时,服务器往客户端方向的数据发送通道已经关闭,由于另一方向暂未关闭,因此客户端仍可继续发送数据,如73、74号PSH包,即携带载荷数据的TCP包。
2024-12-01 23:51:55
70
转载 从时序图看TCP故障(4)确认号与确认机制——科来CSNA流量分析工具运维故障分析系列
在时序图中点击选中14号包或13号包,选中包和选中包相关的确认/被确认包,箭头均会被标记为黄色。例如发送方发送了Seq为1234567890的数据包,有效载荷长度为5,那么接收方就需要将序列号+载荷长度进行计算,得到数字1234567895,并将此数值填入Ack号字段,返回给发送方,表示对1234567890至1234567894这一段数据(5字节数据)的确认。本文深入探讨了TCP的确认机制,包括确认号的计算、累积确认机制以及延迟确认机制的介绍,以及在CSNAS时序图中如何观察这些现象。
2024-11-24 19:45:30
87
转载 从时序图看TCP故障(3)确认号与确认机制——科来CSNA流量分析工具运维故障分析系列
如果一定要按照+1增长方式来理解TCP序列号,可理解为:连接建立和断开阶段的下一包序列号为【序列号+1】,数据传输阶段的下一包序列号为【序列号+长度】刚才说到,【当前包的序列号+载荷长度=下一包序列号】,看到这里可能会有细心读者问,图中1号SYN包和7号FIN包并不存在载荷长度,为何下一包序列号被设置为序列号+1?接下来,客户端发送了4号包,其序列号为1638701982,该包载荷长度为138字节,因此,4号包的下一包序列号为1638701982+138=1638702120。
2024-11-24 19:41:31
61
转载 从时序图看TCP故障(2)连接重置与RST——科来CSNA流量分析工具运维故障分析系列
通过图7可以看出,服务器响应了SYN/ACK包,而立刻回复了一个RST,这是由于发送RST包的设备为中间的安全设备,在进行旁路阻断时,只能通过发送RST进行阻断,而无法拦截服务器已发出的SYN/ACK包。除服务器外,在连接建立阶段,客户端也有可能发送RST包,如图3、图4所示,在连接建立已经经历了SYN包、SYN/ACK包的交互后,甚至三次握手完成后,客户端突然发送RST包,表示客户端拒绝连接。因此,当客户端或服务器的任意一方需要拒绝连接,或认为连接出现错误时,即可以发送RST包重置当前TCP连接。
2024-11-17 20:05:11
217
1
转载 从时序图看TCP故障(1)连接建立与三次握手——科来CSNA流量分析工具运维故障分析系列
在IT运维监控与故障诊断工作中,传输控制协议TCP是无法避开的关键一环。熟练掌握TCP协议,可大幅提升IT工程师在实际工作中的技术水平,缩短故障处理时间。由于TCP协议的机制复杂,导致分析上手难且不便于观测其底层交互情况,因此若能以图形方式展示TCP的通信交互情况,则可大大降低理解TCP协议的难度。什么是交易时序图”,有哪些功能?
2024-11-17 20:00:10
251
转载 (搬运)手机卫星通信详细科普图漫版
那么到底什么是卫星通信?为何手机厂商会和卫星联系在一起?到底是噱头还是突破?是不是所有手机都能够直连卫星?卫星通信有哪些优势?答案就在这篇文章中。
2022-09-16 17:03:21
5698
1
原创 学习网络分析/抓包/NTA技术比较合适的课程
互联网技术的变革正在不断加速,5G、云计算、大数据、物联网、人工智能等新技术的引入和演进,使网络流量、网络数据价值越来越高。科来基于在网络流量分析领域近20年的技术沉淀与实战经验累积,结合用户关注的重点内容,持续分享优质的网络技术知识干货。...
2022-07-22 19:25:45
2460
原创 科来网络流量分析技术公开课学习回顾
第一期:掌握核心技术能力第二期:开启攻防演练实战第三期:TCP业务缓慢的根因第四期:如何分析邮件服务器第五期:go
2021-06-18 15:29:24
315
1
原创 给大家推荐一门比较适合用来学习流量分析技术的公开课(内附课程b站链接)
最近看到同事在看一门课程,是CSNA出的一套免费对外公开课,跟着看了一下觉得不错,分享给大家。CSNA是国内比较老牌且低调的网络技术分析认证培训了,在网络运维和网络安全方向上还是有口皆碑的。课程内容比较体系化,有理论也有实操,涵盖了业务性能管理、网络疑难故障、APT攻击对抗、僵尸木马蠕虫病毒这些比较常见的业务案例,好好学完应该基本能解决日常大部分的运维或者安全问题了。公开课算是CSNA培训的进一步延伸,也是领域里面的高级专家和资深讲师授课,每个月都有大概两场直播。最近刚结束第五期,b站的直播回看已经
2021-05-12 14:42:59
442
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人