Sniffer路由流量分析

Sniffer路由流量分析

黑客安全hacker2017-03-22 6:19:269503A+A-

1. 坏境介绍

  它是1个具体产生的互联网使用率不正常造成互联网很多丢包的实例,客户的网络丢包状况很嚴重,给客户导致了挺大的困惑。

2. 网络空间

  客户的互联网是1个省部级网络空间,包含内网和广域网,并同各省的广域互联网相接。网络拓扑给出:

sniffer

3.互联网异常情况

    该网络丢包状况嚴重,假如根据省内网向城市互联网或各省互联网发包,每传出10个PING包将只有接到7个REPLY包,那样,应用场景互联网的运用遭受挺大的危害。

4.找到造成数据流量较大的服务器

    人们一样运用Sniffer的Host Table作用,将该互联网全部电脑造成的数据流量依照传出数据文件的包数几个开展排列,結果给出图。

sniffer

  从图中中人们见到,IP地址为10.22.0.25的服务器传出数据文件最大,远远超过了别的服务器,相对造成的留量也较大。

5.剖析这台服务器的数据流量

  最先人们剖析该服务器的数据流量流入,也也是剖析它在向谁发包,人们运用Sniffer的Matrix作用来监视器。

sniffer

    根据Sniffer的Matrix,人们发觉IP地址为10.22.0.25的服务器传出的数据文件很细化,人们调研了一会儿,发觉IP地址为10.22.0.25的服务器为该互联网的网络管理系统服务器,而它发包的成员变量是该互联网中地市级无线路由的IP地址,换句话说互联网的网络管理员服务器向城市无线路由传出很多的互联网包,造成数据流量不正常并造成互联网很多丢包,使互联网处在不平稳情况。

    在发觉这一难题后,人们将该网络管理员服务器的数据连接消除,发觉互联网立刻修复来到没问题情况,没有有丢包状况产生,看上去这一互联网的难题彻底是由这台网络管理员服务器造成的相同,但这种现象十分无法了解,为何网络管理员主机遇导致网络不稳定呢。

    人们运用Sniffer的Decode作用将捕捉到的数据流量转码,来剖析网络管理员服务器传出的数据文件的內容,看一下究竟它传出了哪些的数据文件。

sniffer

    人们根据Sniffer的Decode发觉这台互联网服务器向互联网中城市无线路由上传很多的ICMP Echo数据文件,也也是Ping包,对于其向10.22.127.246上传的ICMP Echo包开展剖析,发觉了怪异的状况。

    对于人们捕捉的由10.22.0.25向10.22.127.246上传的ICMP Echo包列举邻近的数据文件开展转码剖析,图19为其传出的第739个数据文件,图中为其传出的第740个数据文件,人们发觉这2个包的IP Identification是相同的,全是15633,每一IP包都是有个特殊的Identification来标示其独立性,这表明人们捕捉到的这2个数据文件我觉得是相同IP包。

Sniffer

  而捕捉到的这一数据文件的Time to live也也是TTL值1个为251,另外为250,TTL为IP包的存活時间,每历经1个路由解决,TTL值就会被减一,直到到0后被无线路由丢弃。

  人们见到别的的数据文件都是一样的状况,这一IP ID为15663的数据文件持续在互联网中出現,直至TTL值瘦到0,这种现象清晰的说明,互联网里存有着路由环,发向10.22.127.246的数据文件是在无线路由间持续的相互之间传送,最后被丢弃,这种现象还可以变成路由乒乓状况,出現路由环后,1个数据文件将反复在互联网中传输,并且上升时间留量会不正常的大,导致网络异常,这正和该互联网的互联网异常情况相符合。

  怎么会出現路由环呢,对于其互联网开展了详尽的知道,发觉其在无线路由中设定了很多的静态路由,其路由设置如图所示。

假如一级网无线路由同城市网络路由器中间的DDN数据连接如果终断,一级网无线路由中所设的偏向城市网络路由器的静态路由就会因为网关情况难题而失效,其志到各省市市网段的路由偏向就会选用缺省路由偏向而指回省局域网交换机,那样路由的乒乓状况就产生了。

实际上那时候的城市互联网仍未调通,但互联网的路由都早已设定进行了,一起各省市市无线路由的IP地址早已加上来到网管系统中,网管系统在确定的间隔时间不爱说话这种无线路由传出ICMP包,认证这种无线路由是不是可以浏览到,而这种ICMP包却在省局域网交换机和一级网无线路由间被变大产生乒乓状况,导致网络丢包状况嚴重。

  这一实例说出人们,在配备静态路由时要十分当心,最好不要在互联网配备中选用静态路由。


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 鸽吻泪灼2022-05-30 12:28:46
  • ,图19为其传出的第739个数据文件,图中为其传出的第740个数据文件,人们发觉这2个包的IP Identification是相同的,全是15633,每一IP包都是有个特殊的Identification来标示其独立性,这表明人们捕捉到的这2个数
  • 辙弃叙詓2022-05-30 04:47:31
  • D为15663的数据文件持续在互联网中出現,直至TTL值瘦到0,这种现象清晰的说明,互联网里存有着路由环,发向10.22.127.246的数据文件是在无线路由间持续的相互之间传送,最后被丢弃,这种现象还可以变成路由乒乓状况,出現路由环后,1个数据文件将反复在互联网中传输,
  • 泪灼路弥2022-05-30 11:19:48
  • 向城市网络路由器的静态路由就会因为网关情况难题而失效,其志到各省市市网段的路由偏向就会选用缺省路由偏向而指回省局域网交换机,那样路由的乒乓状况就产生了。实际上那时候的城市互联网仍未调

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理