2022网络分析手册.docx

2022网络分析手册

目 录

答读者问/1

Linux为什么卡住了？/3 1

像福尔摩斯一样思考/7

一篇关于VMware的文章/12来点有深度的/18三次握手的小知识/22

被误解的TCP/27最经典的网络问题/30为什么丢了单子？

/36受损的帧/42虚惊一场/45NTLM协议分析/49

Wireshark的提示/54工作中的Wireshark/61

书上错了吗？/63计算“在途字节数”/68估算网络拥塞点

/71顺便说说LSO/74熟读RFC/77

一个你本该能解决的问题/82几个关于分片的问题/87MTU导

致的悲剧/92迎刃而解/97昙花一现的协议/100另一种流控/105

过犹不及/109

治疗强迫症/114技术与工龄/119

如何科学地推卸责任/123

假宽带真相/131手机抓包/138微博为什么会卡/145寻找HttpDNS

假宽带真相

/131

手机抓包

/138

微博为什么会卡

/145

寻找HttpDNS/148

谁动了我的网络

/155

一个协议的进化

/161

假装产品经理

/168

自学的窍门

/172

两个项目

/177

生活中的Wireshark/129

2

打造自己的分析工具/179一个创业点子/189

答读者问

1

在过去几年中，有不少读者、同事和网友向我咨询过网络问题，其中大部分都记录在案。我一直把这些案例视为珍贵的财富，因为既真实又有广泛的代表性，比我自己在实验室中“制造”出来的好多了。本书从中选择了最经典的部分，希望读者会感兴趣。如果你在工作或生活中遇到网络问题，也欢迎抓个包来找我分析。

答读者问Linux

答读者问

Linux为什么卡住了？

2

Linux为什么卡住了？

答读者问

到今天为止，已经有5位读者向我求助过这个问题了。症状请看图1，他们通过SSH登录Linux服务器时，输完用户名就卡住了，要等待10秒钟才提示密码输入。这究竟是什么原因导致的呢？其实我也是Linux菜鸟，虽然尝试过搜索“sshhang”等关键词，但是没找到相关信息。

图1

10秒钟的时间并不算长，吃个薯片喝口咖啡就过去了。但是作为强迫症患者，我还是容不得它的存在，因此便决定写篇文章，向大家演示一下怎样用Wireshark一步步解决这个问题。

首先是抓包，步骤如下。

在Linux服务器上启动抓包。

从笔记本SSH到Linux服务器，输入用户名并回车。

等待10秒左右，直到登录界面提示输入密码。

Linux为什么卡住了？

3

停止抓包。

答读者问

Linux为什么卡住了？

4

这样就可以得到一个涵盖该现象的网络包了。一般在实验室中没有干扰流量，不用过滤也可以分析，不过我们最好在做实验时就养成过滤的习惯，以适应生产环境中抓到的包。因为我们是通过SSH协议登录的，所以可以直接用“ssh”来过滤，如图2所示。SSH包都是加密了的，因此我们看不出每个包代表了什么意思，不过这并不影响分析。从图2中可以看到，21号包和25号包之间恰好就相

隔10秒。

图2

这两个包之间所发生的事件，可能就是导致这个现象的原因。于是我再用“frame.number21frame.number25”过滤，结果如图3所示。

图3

从图3中可以看到，Linux服务器当时正忙着向DNS服务器查询3的PTR记录（即反向解析），试图获得这个IP地址所对应的域名。该IP属于我们测试所用的笔记本，但由于DNS服务器上没有它的PTR记录，所以两次查询都等了5秒钟还没结果，总共浪费了10秒钟。

我们由此可以推出，这台Linux服务器在收到SSH访问请求时，会先查询该客户端IP所对应的PTR记录。假如经过5秒钟还没有收到回复，就再发一次查询。如果第二次查询还是等了5秒还没回复，就彻底放弃查询。我们甚至可以进

一步猜测，如果DNS查询能成功，就不用白等那10秒钟了。

为了验证这个猜测，我在DNS服务器中添加了3的PTR记录，如图4所示，然后再次登录。

图4

这一次果然立即登录进去了。从图5的Wireshark截屏可见，DNS查询是成功的，所以21号包和26号包之间几乎是没有时间停顿的。

答读者问

Linux为什么卡住了？

5

图5

明白了DNS查询就是问题的起因，接下来就知道怎么进一步研究了。只要在Google搜索“sshdns”，第一页出来的链接都是关于这个问题的。随便挑几篇阅读一下，就连我这样的Linux初学者都能把这个问题研究透了。原来这个