朱　煜

(山西省氣象信息中心，山西 太原 030006)

?

用wireshark解決網絡故障

朱煜

(山西省氣象信息中心，山西 太原 030006)

網絡故障會對各部門業(yè)務系統(tǒng)的安全穩(wěn)定運行造成嚴重影響。遭遇網絡故障時準確定位、快速解決對工業(yè)生產、人們生活等方面具有重大意義，也是衡量網絡管理員技能的一項重要指標。抓取網絡數據包進行協(xié)議分析是排查網絡故障的常用方法，本文以工作中遇到的網絡問題，使用wireshark協(xié)議分析軟件進行診斷分析，以達到快速修復網絡故障的目的。

Wireshark；協(xié)議分析；網絡抓包

1　Wireshark簡介

Wireshark是目前世界上最受歡迎的協(xié)議分析軟件。它能夠獲取網絡中傳輸的數據包，并直觀地呈現在用戶面前，還能夠對這些數據包進行篩選及分析，極大地方便了對網絡活動的監(jiān)測分析和故障診斷。Wireshark可以在Windows，Linux和UNIX等系統(tǒng)上運行，是網絡工程師解決網絡故障的理想助手。

2　用wireshark分析網絡故障

2.1arp故障

單位內外網分離，職工上外網使用無線網絡。最近經常遇到無線斷網的情況。剛開始以為是無線路由器不穩(wěn)定，重啟下就行了。然而故障并沒有得到解決。一般來說，無線網絡經常中斷的原因，一是無線路由器性能不穩(wěn)定或擺放位置不佳；二是無線網絡中有arp攻擊。 由于單位的無線路由器是新買的而且檔次不低，所以排除了路由器的自身問題，那就可能是arp欺騙引起的。

打開wireshark進行抓包分析，篩選出arp的包，發(fā)現LiteonTe_bb:fa:a4這臺主機的arp廣播非常頻繁。主機不停地在依次向整個網段發(fā)送arp廣播請求，繼續(xù)篩選這臺主機的arp包，發(fā)現了arp欺騙包(圖1圈中的部分)，因為它與實際的網關地址不同。在路由器上啟用mac地址過濾，把這臺主機過濾后，網絡中斷的情況沒有再次發(fā)生。

圖1　中毒機器發(fā)出的arp包

2.2NFS故障

NFS(Network File System)顧名思義，就是網絡上的文件系統(tǒng)。NFS服務器提供共享目錄，可以被掛載到多臺客戶端的本地目錄上。當用戶在這些本地目錄讀寫文件時，實際是在NFS服務器上讀寫。NFS一般只在Linux/UNIX環(huán)境中存在。它只出過3個版本，即1984年的NFSv2、1995年的NFSv3和2000年的NFSv4。目前，大多數NFS環(huán)境都還是NFSv3。NFSv4受CIFS影響，實施過程相對復雜，普及速度較慢，只在較新的操作系統(tǒng)中出現。前一段時間，在掛載網絡文件系統(tǒng)(NFS)時出現一些問題?，F給出服務器、客戶機系統(tǒng)環(huán)境。

◆ 服務器：

主機：ibm power550，ip:10.56.5.13，操作系統(tǒng)：aix 5.3。

◆ 客戶機：

主機：ibm x3850，ip:10.56.5.20，操作系統(tǒng)：Red Hat Enterprise Linux Server release 6.5。

在客戶機執(zhí)行命令mount 10.56.5.13:/share/share時失敗，提示：mount.nfs: Remote I/O error。但另一臺客戶機ok。而NFS服務端上沒有做限制，這樣就初步排除了NFS服務器的問題。開始時認為是客戶機防火墻對NFS的攔截導致。用命令service iptables stop 關閉防火墻后故障依舊。在客戶機下執(zhí)行rpcinfo-p 10.56.5.13檢查服務端NFS服務，沒有發(fā)現問題；執(zhí)行showmount-e 10.56.5.13發(fā)現能夠獲取到NFS服務器共享的資源，說明網絡連通性、nfs服務發(fā)布都沒有問題。再次檢查相關的配置和服務，重啟服務甚至重啟機器，都不管用。無計可施下，打開wireshark進行抓包分析，圖2是在客戶端上運行wireshark的抓包截圖。

從圖2中可以看出，客戶機與服務器是用NFSv4協(xié)議進行協(xié)商的，服務器發(fā)回給客戶機423號包中我們看到狀態(tài)為：NFS4ERR_RESOURCE(10018)， 最終服務器拒絕連接。回憶以前抓到的包都是用NFSv3協(xié)議進行連接的，難道是因為客戶機與服務器的NFS版本不匹配導致連接被拒絕的？那就強制使用同一版本的NFS協(xié)議，這里采用NFSv3，因為服務器是支持這個版本的。于是運行命令mount 10.56.5.13:/share/share-onfsvers=3后終于掛載成功。這時狀態(tài)為NFS3 OK。

圖2　nfs協(xié)商失敗

稍后經過查詢，發(fā)現Red Hat Enterprise Linux Server release 6.1以上的Linux系統(tǒng)NFS默認使用v4版本，而我們的服務器最高支持到v3版本，這導致了連接被拒絕。

2.3ftp故障

FTP(File Transfer Protocol，文件傳輸協(xié)議)是最為常用的網絡協(xié)議之一。FTP由服務器和客戶端兩部分組成，其中FTP服務器放置資源，用戶通過FTP客戶端來訪問位于FTP服務器上的資源。由于FTP使用方便傳輸效率高，在業(yè)務上使用非常普遍。FTP故障會影響業(yè)務的正常運行，因此網絡管理員需對其有足夠的重視。下面分享我單位在FTP使用過程中遇到的一次問題。先介紹網絡連接：

圖3　網絡連接圖

如圖3所示，客戶機(簡稱A機)與FTP服務器(簡稱B機)之間有2臺防火墻保護，B機沒有用默認的tcp21端口而是采用tcp12721端口。A機可以ping通B機，也能夠成功登陸，但不能列取B機目錄。執(zhí)行l(wèi)s命令后長時間等待，最后超時退出。首先關閉系統(tǒng)防火墻，但故障依舊?；貞汧TP的工作模式：FTP支持兩種模式，一種是主動模式，另一種是被動模式。在數據傳輸時，如果服務器主動與客戶端建立連接就叫主動模式；如果服務器等待客戶端去連接它就叫被動模式。主/備動模式可以通過passive on/off命令進行切換。在主動模式下客戶端連接到服務器的tcp21端口，發(fā)送用戶名和密碼登錄，在數據傳輸時，客戶端隨機開放一個高端tcp端口(端口號>1024)，發(fā)送 PORT命令到FTP服務器，告訴服務器客戶端采用主動模式并開放端口，然后服務器通過tcp20端口和客戶端開放的端口連接，發(fā)送數據；在被動模式下，客戶端連接到服務器的tcp21端口，發(fā)送用戶名和密碼登錄，在數據傳輸時，發(fā)送PASV命令到FTP服務器， 服務器在本地隨機開放一個高端端口(端口號>1024)，并且通知客戶端使用這個端口進行數據傳輸，客戶端連接服務器此端口，然后服務器將通過這個端口傳輸數據。

圖4　ftp數據包

打開wireshark進行抓包分析，如圖4，1650、1665、1666、1667這4個數據包是A機與B機控制信息的協(xié)商。從1668號包可以看出FTP采用被動模式進行數據傳輸，因為源地址是A機(客戶機)，目的地址為B機(服務器)。A機的tcp40669端口連接B機的tcp60662端口，然而B機并沒有回應。這說明要么A機發(fā)送的數據包被攔截，要么B機回應的數據包被攔截。由于不清楚遠端防火墻的配置，只能檢查本地防火墻，發(fā)現A機只允許訪問B機的tcp12721這個端口，增加配置：允許A機訪問B機任意tcp端口后，FTP終于能夠正常傳輸數據了。

FTP主/備動模式是網絡管理員經常遇到的問題，許多FTP故障都與它有關。許多內網的客戶端不能用主動模式登陸FTP服務器，因為從服務器無法和內部網絡的客戶端建立一個新的連接，造成無法工作。而被動模式要求在服務器前端的防火墻上開放的端口過多，有一定的安全隱患。不同的場合采用相應的模式才能讓FTP正常穩(wěn)定的運行。另外windows系統(tǒng)自帶的ftp命令只能以主動模式工作，如圖5，雖然使用命令quote pasv進入被動模式，而且也確實提示進入Passive Mode，但抓包結果表明FTP仍然是以主動模式工作的，這也算是一個bug吧。

圖5　windows下ftp數據包

3　總結

從以上案例進行來看，wireshark在多種場合都能發(fā)揮作用，迅速準確的找到故障原因。目前，網絡協(xié)議種類越來越多，版本越來越多，協(xié)議間的交互協(xié)商也越來越復雜，任何一個環(huán)節(jié)出現問題都可能導致故障的發(fā)生。如果遇到故障完全靠管理員的經驗來解決，不僅費時費力，而且有些故障特別隱蔽，不抓包進行分析，很難解決。Wireshark對解決這類網絡故障提供了良好的方法，提高了工作效率。

[1]W.Richard Stevens.TCP/IP詳解卷1：協(xié)議[M].北京：機械工業(yè)出版社，2000.

[2]林沛滿.Wireshark網絡分析就這么簡單[M].北京：人民郵電出版社，2014.

The Solution for Network Fault with Wireshark

Zhu Yu

(ShanxiMeteorologicalInformationCenter,TaiyuanShanxi030006,China)

Network failure has a serious impact on the security and stability of the business system. Accurately locating and quickly fixing the network failure has great significance for industrial production and people’s lives; it is also an important indicator to measure the network administrator's skills. Crawling network packet to analyze network protocol is a common method to troubleshoot network problems. This paper focuses on the network problems encountered in the work, and to diagnose and analyze with wireshark software so as to fix network fault rapidly.

Wireshark; protocol analysis; packetcapture

2016-04-18

朱煜(1984- )，男，山西太原人，工程師，工程碩士，主要從事氣象信息技術工作。

1674- 4578(2016)04- 0059- 02

TP393.08

A