第三讲网络监测、诊断与数据捕获祥解.ppt

Ping 127.X.X.X为回环地址，用来验证本地计算机上是否安装了TCP/IP协议以及配置是否正确； Ping <本机IP地址>，用来验证本机是否正确添加到网络； Ping <默认网关IP地址>，验证默认网关是否运行以及能否与本地主机通信； Ping <远程主机IP地址或域名>，验证能否正常通信，若能通信，则问题可能出现在网络系统的软件配置方面。 * Netstat –s –p TCP 30 –s参数用于显示每个协议的统计；- p用于显示指定协议的网络连接。 * * * 通过Sniffer的监控可以看到，从应用启动开始，该广域网的带宽利用率就达到了100%，直至登录完成，持续时间近5分钟。也就是说，仅仅一个启动登陆的过程就需要产生2MByte的网络流量（在下一张幻灯片中有Data Byte Transmitted指标，记录为1953KByte），在5分钟内使广域网链路处于满负荷的运行状态下，这样的应用在其广域网上是无法正常运行的，如果其在用户的广域网上运行，必将造成广域网的拥塞，从而导致其他的引用无法正常运行。 仅仅一个启动登录过程，客户端就向服务器端发出了270个连接请求，这个应用对网络系统的延迟也非常敏感（平均响应时间991ms），得出结论，不适合在广域网上运行。 * * 从对该应用的网络流量监控中我们可以发现，该应用的网络流量大小非常稳定，基本稳定在320Kb/s～350Kb/s之间，在该应用实际运行时，最好在网络中设定流量策略，保证其能够稳定的获得至少350K的网络带宽，避免其它网络流量对它的影响。 ntop：监视通过主机网络连接的网络流量。 Omnipeek 是出自WildPackets的著名的抓包软件。其功能与Sniffer Pro有相似之处。 * * * * * * 第三讲 网络监测、诊断与数据捕获暨实验二 侦听和扫描 以科学的方法，通过测量手段或工具，取得网络产品或正在运行网络的性能参数和服务质量参数，这些参数能够为网络性能的改善提供依据，为网络运营及管理提供指导，为网络设备或产品研发提供支持。 可用性、差错率、吞吐量、时延、丢包率、连接建立时间、故障检测和修正时间…… 网络测试的基本概念 ping：在线连通性测试命令 在TCP/IP网络管理工具中，Ping是网络管理员最常用的一个工具，我们经常使用“Ping ”、“Ping <本机IP地址>”、“Ping <默认网关IP地址>”，而不常使用“Ping <远程主机IP地址或域名>”，那么这些命令分别有何种功能？ 某大型园区网，由若干路由器构成其主干，有两台Windows 2000主机无法通信，怀疑是其中某个路由器故障或配置错误引起的，网络管理员应该用什么命令来找到这台路由器？ 网络测试常用命令（Windows版） tracert：路由跟踪探测命令 netstat：本机网络状态检测命令 为了分析一台安装了Windows Server 2003服务器的网络流量，使用查看网络状态信息工具netstat。如果想每30秒统计一下TCP连接情况，请写出完整的带参数命令。 ipconfig：本机IP配置状态命令 net：查看本地网络计算机上的用户列表、添加和删除用户、启动和停止网络服务等 网络测试常用命令（Windows版） 对在网络中传输的实际数据流进行分析，包括从底层的数据流到应用层数据的分析。 网络流量分析是网络分析的子集。 网络流量分析的基础是网络协议分析。 网络流量分析具有累积性。 网络流量分析 案例I：某办公自动化OA的流量评估 从启动到登录完成所产生的网络流量 （用sniffer pro分析 ） 案例II：对视频会议的应用流量评估 ntop Wildpackets公司的omni peek WireShark 测试网络性能的工具 端口扫描技术是漏洞扫描技术的起源 实质：通过连接到系统的TCP或UDP端口，确定何种服务正在运行 你能列举多少个已知端口的名称？ 端口扫描 端口号 TCP/UDP 名称 20 21 TCP ftp-data ftp-control 23 TCP telnet 25 TCP SMTP 53 TCP, UDP DNS 80 TCP HTTP 110 TCP POP3 111 TCP, UDP RPC 443 TCP HTTPS IP分组中的传输控制协议TCP数据段结构 TCP协议和TCP扫描技术 用三次握手建立 TCP 连接 SYN = 1, seq = x CLOSED CLOSED 主动打开 被动打开 A B 客户 服务器 5.9.1 TCP 的连接建立 A 的 TCP 向 B 发出连接请求报文段，其首部中的 同步位 SYN = 1，并选择序号 seq = x，表明传送 数据时的第一个数据字节的序号是 x。