Okay, lad os nedbryde, hvordan man fejlfinder netværksproblemer ved hjælp af Wireshark, med fokus på at bruge `TCP.Flags` Filter nøgleord. `TCP.Flags` -filteret er afgørende for diagnosticering af TCP -forbindelsesproblemer.

forståelse `tcp.flags`

Feltet `TCP.Flags` i Wireshark giver dig mulighed for at filtrere pakker baseret på TCP -flagbits, der er indstillet i TCP -overskriften. Disse flag er enkeltbits, men deres kombinationer er utroligt nyttige til at forstå tilstanden af ​​en TCP -forbindelse. Her er en sammenbrud af de vigtigste flag:

* syn (synkronisering): Bruges til at starte en TCP-forbindelse (den første pakke i trevejs håndtryk).

* ack (anerkendelse): Bruges til at anerkende modtagne data eller en tidligere SYN -pakke. Næsten hver pakke efter SYN/ACK -udvekslingen har ACK -flagsættet.

* fin (finish): Bruges til yndefuldt at lukke en TCP -forbindelse.

* rst (nulstilling): Bruges til pludseligt at afslutte en TCP -forbindelse. Angiver ofte en fejl eller et problem.

* psh (push): Angiver, at afsenderen straks skubber data til modtageren. Ofte brugt til interaktive applikationer.

* hast (presserende): Angiver, at det presserende markørfelt i TCP -header er gyldigt og peger på presserende data. Mindre almindeligt anvendt i moderne applikationer.

* ECE (ECN-ECO): Bruges til eksplicit overbelastningsmeddelelse (ECN) til signal overbelastning på netværket.

* CWR (overbelastningsvindue reduceret): Bruges til eksplicit overbelastningsmeddelelse (ECN) for at indikere, at afsenderen har reduceret sit overbelastningsvindue.

Hvorfor er `tcp.flags` vigtige?

Ved at filtrere på disse flag kan du hurtigt identificere:

* Forbindelses etableringsproblemer: Komplet tre-vejs håndtryk (SYN, SYN/ACK, ACK) med succes?

* Forbindelsesafslutningsproblemer: Var forbindelsen lukket yndefuldt (Fin Exchange) eller pludselig (RST)?

* Genoprettelser: Er der mange duplikat ACK -pakker?

* Mulige angreb: Usædvanlige flagkombinationer kunne indikere forsøg på at manipulere TCP -forbindelser.

* Problemer med overbelastning: Bruges ECE- eller CWR -flag?

Fejlfindingstrin med `tcp.flags` og Wireshark

Her er en struktureret tilgang til fejlfinding med `tcp.flags ':

1. indfang trafik:

* Start Wireshark: Start Wireshark på maskinen, der oplever netværksproblemet eller på et netværk, hvis du overvåger trafik mellem to enheder.

* Vælg den korrekte grænseflade: Vælg den netværksgrænseflade, der bærer den trafik, du vil analysere (f.eks. Ethernet, Wi-Fi).

* Start Capture: Klik på knappen "Start" (Shark Fin -ikonet) for at begynde at fange pakker.

* Gengiv problemet: Mens Wireshark fanger, gengiver det netværksproblem, du prøver at diagnosticere (f.eks., Prøv at oprette forbindelse til et websted, overføre en fil osv.).

* Stopfangst: Klik på knappen "Stop" (Red Square -ikonet) for at stoppe med at fange pakker.

2. Anvend indledende filtre (valgfrit men anbefalet):

* `vært `: Filtrer efter IP -adressen på klienten eller serveren involveret i problemet. Udskift `` med den faktiske IP. Eksempel:`Vært 192.168.1.100`

* `ip.addr ==`: Samme som ovenfor, men nogle gange mere pålidelige.

* `tcp.port ==`: Filtrer med et specifikt TCP -portnummer (f.eks. 80 for HTTP, 443 for HTTPS, 22 for SSH). Eksempel:`tcp.port ==80`

* `Tcp.stream EQ `: Filtrer med et specifikt TCP -strømnummer. Du kan finde strømnummeret i pakkeoplysningerne. Dette er nyttigt til isolering af en enkelt TCP -forbindelse.

Disse indledende filtre hjælper med at indsnævre den fangede trafik til de relevante pakker, hvilket gør analysen lettere.

3.

* filter til synpakker: `tcp.flags.syn ==1 og tcp.flags.ack ==0` (dette viser SYN -pakker uden ACK -flaget.)

* Se efter SYN/ACK -pakker: `tcp.flags.syn ==1 og tcp.flags.ack ==1` (dette viser synpakker, der også har ACK -flagsættet.)

* Se efter ACK -pakker (den sidste del af håndtrykket): `tcp.flags.ack ==1 og tcp.flags.syn ==0` (dette viser ACK -pakker uden SYN -flagsættet.)

fejlfinding baseret på dette:

* Manglende syn: Hvis du ikke ser en SYN -pakke fra klienten, er klienten muligvis ikke i stand til at nå serveren (routingproblem, firewall -blokering).

* Manglende syn/ack: Hvis klienten sender et syn, men ikke modtager en SYN/ACK, kan serveren muligvis være nede, utilgængelig eller afvise forbindelsen (firewall).

* Manglende ACK: Hvis klienten modtager en SYN/ACK, men ikke sender den endelige ACK, kan der være et problem med klientens netværkskonfiguration, routing eller firewall.

* Udleveret synpakker: Klienten sender SYN -pakker flere gange, hvilket kan indikere et problem på stien til serveren, der forhindrer den første syn i at nå serveren.

4.

* filter til finpakker: `tcp.flags.fin ==1`

* filter til RST -pakker: `tcp.flags.reset ==1`

fejlfinding baseret på dette:

* Fin Exchange: En yndefuld tæt involverer en finpakke fra den ene side, en ACK til den fin, en finn fra den anden side og en ACK for den fin. Hvis denne sekvens er ufuldstændig, afbrød noget lukningsprocessen.

* rst pakker: En første pakke indikerer en pludselig afslutning. Se efter årsagen til RST. Mulige årsager:

* Port lukket: Klienten eller serveren sendte data til en port, der ikke længere lytter.

* Forbindelse nægtet: Serveren nægtede forbindelsen.

* uventede data: Den ene side modtog data, som den ikke forventede.

* firewall: En firewall kan med magt lukke forbindelsen.

5. Analyse af dataoverførselsproblemer (efter håndtryk):

* `tcp.analysis.retransmission`: Dette filter er en hurtig måde at identificere TCP -videresendelser på. Højt antal videresendelser indikerer pakketab, netværksoverbelastning eller andre netværksproblemer.

* `tcp.analysis.duplicate_ack`: Dette filter identificerer duplikat ACK -pakker, der kan forekomme på grund af pakketab. Afsenderen videresender en pakke, og modtageren acks originalen og den videresendte pakke, hvilket skaber en duplikat ACK.

* `tcp.flags.push ==1`: Filtrer til pakker med PSH -flagsættet. Dette indikerer, at afsenderen presser presserende data. Selvom det normalt ikke er et * problem * i sig selv, kan det være nyttigt til at forstå strømmen af ​​data.

6. Avanceret filtrering med `tcp.flags`

* Kombination af flag: Du kan kombinere flag ved hjælp af `&&` (og) og `||` (eller). For eksempel:`tcp.flags.syn ==1 &&tcp.flags.reset ==1` (pakker med både SYN og RST -flag sæt - meget usædvanligt, kan indikere et angreb).

* Kontrol af * ethvert * flagsæt: `tcp.flags> 0` - Vis alle pakker med * ethvert * TCP -flagsæt. Dette kan være nyttigt for at få en generel oversigt.

eksempel scenarier

* websted, der ikke indlæses:

1. Filtrer efter webstedets IP -adresse (`Host `).

2. Kontroller for trevejs håndtryk. Hvis SYN eller SYN/ACK mangler, skal du undersøge netværksforbindelse eller serverens status.

3. Hvis håndtrykket er afsluttet, skal du kigge efter HTTP få anmodninger og serverens svar. Er der videresendelser? Sender serveren tilbage fejl (f.eks. HTTP 500 -fejl)?

4. Kig efter RST -pakker, der måske for tidligt lukker forbindelsen.

* ssh -forbindelse mislykkes:

1. filter efter port 22 (`tcp.port ==22`).

2. Kontroller for trevejs håndtryk.

3. Se efter SSH -protokolmeddelelser. Hvis håndtrykket er afsluttet, men SSH -klienten og serveren ikke udveksler data, kan der være et problem med SSH -godkendelse eller konfiguration.

4. Se efter RST -pakker. En nulstillingspakke er ofte et tegn på mislykket godkendelse eller et problem med SSH -serveren.

* Langsom filoverførsel

1. filter til IPS for klienten og serveren, der udfører overførslen.

2. se efter `tcp.analysis.retransmission '. Højt antal videresendelser indikerer pakketab, netværksoverbelastning eller andre netværksproblemer.

3. se efter `tcp.window_size ==0`. En nulvinduestørrelse indikerer, at modtageren er overvældet og ikke kan acceptere flere data. Afsenderen bliver nødt til at sætte transmissionen på pause.

nøgletips

* tidssekvensgraf: Brug Wiresharks "Statistics -> TCP Stream Graph -> Time -Sequence Graph (Stevens)" til at visualisere TCP -forbindelsesstrømmen og identificere hurtigt videresendelser, huller og andre afvigelser.

* Ekspertinfo: Vær opmærksom på ruden "Ekspertinfo" i bunden af ​​Wireshark. Det fremhæver ofte potentielle problemer.

* Højreklik og følg TCP Stream: Højreklik på en TCP -pakke og valg af "Følg -> TCP Stream" er en fantastisk måde at isolere en enkelt TCP -forbindelse og se alle pakker i den forbindelse i rækkefølge.

* Lær TCP -protokollen: En solid forståelse af TCP-protokollen (især trevejs håndtryk og forbindelsesafslutning) er vigtig for effektiv fejlfinding.

Ved at mestre brugen af ​​`tcp.flags` og disse fejlfindingsteknikker kan du forbedre din evne til at diagnosticere og løse netværksproblemer betydeligt ved hjælp af Wireshark markant. Husk at kombinere disse oplysninger med andre netværksovervågningsværktøjer og serverlogfiler for et omfattende overblik over problemet.