Windows操作系统路由表完全解析
[font=宋体][font=宋体][size=2][color=indigo]时间能够以这样的方式过去令人感到惊异。人们倾向于认为计算机技术属于高科技,但是,TCP/IP协议在过去的三十年里以各种形式出现,无所不在。因此,TCP/IP协议有时间变得真正成熟起来,并且更稳定和更可靠。然而,当涉及到计算机的时候,事情就没有那样简单了。当路由包通过网络的时候,有时候会出现错误。在这种情况下,熟悉Windows路由表是很有帮助的。路由表能够决定来自有问题的机器的数据包的去向。在本文中,我将向你介绍如何查看Windows路由表以及如何让Windows路由表中包含的数据有意义。[/color][/color][/color][font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 查看Windows路由表[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 路由表是Windows的TCP/IP协议栈的一个重要的部分。但是,路由表不是Windows操作系统向普通用户显示的东西。如果你要看到这个路由表,你必须要打开一个命令提示符对话框,然后输入“ROUTE PRINT”命令。然后,你将看到一个类似于图A中显示的图形。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 图A:这是Windows路由表的外观[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 在我深入讨论这个路由表之前,我建议你在命令提示符对话框中输入另一个命令。这个命令是:IPCONFIG /ALL[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 我建议你使用IPCONFIG /ALL命令的理由是因为这个命令能够显示TCP/IP协议在机器中实际上是如何设置的。的确,你可以在网卡属性页认真查看TCP/IP协议,但是,如果你从IPCONFIG得到这个信息,这个信息会更可靠。在过去的几年里,我曾经遇到过这样一些例子,IPCONFIG报告的信息与机器中的TCP/IP协议设置屏幕中显示的信息完全不一样。这种事情不常见,但是,如果正好出现这种错误,你就会遇到这种不匹配的情况。坦率地说,键入到TCP/IP属性页中的信息反映了你想要Windows为选择的网络设置的TCP/IP协议。IPCONFIG提供的信息显示了Windows实际上设置的协议。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 即使你没有出现一些奇怪的Windows错误,从IPCONFIG获得你的配置信息仍是非常有用的。如果一台机器有多个网卡,要记住每一个网卡绑定的设置是很困难的。IPCONFIG列出了如图B所示的每一个网卡的各种设置,很容易阅读。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 图B:IPCONFIG /ALL显示这台机器上每一个网卡的TCP/IP设置[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]检查路由表[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 当这篇文章要讨论路由表的时候,你现在也许很想知道我为什么让你执行IPCONFIG /ALL命令。这样做的原因是你一般来说从来不看路由表,除非你的机器出现了问题。如果你遇到了问题,开始诊断故障的最佳地方就是对比IPCONFIG提供的信息和路由表中存储的信息。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 正如你在图B中所看到的那样,IPCONFIG/ALL屏幕显示了IP地址、默认网关等一些基本的TCP/IP信息。然而,路由表却不是这样容易看懂。所以,我要用一些时间讨论如何阅读路由表以及路由表中的信息代表什么意思。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 为了理解这些列中的信息代表什么意思,你需要稍微了解一下路由器是如何工作的。路由器的工作是协调一个网络与另一个网络之间的通信。因此,一台路由器包含多个网卡,每一个网卡连接到不同的网段。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 当用户把一个数据包发送到本机以外的一个不同的网段时,这个数据包将被发送到路由器。路由器将决定这个数据包应该转发给哪一个网段。如果这台路由器连接两个网段或者十几个网段也没有关系。决策的过程都是一样的,而且决策都是根据路由表做出的。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 如果你要查看执行“Route Print”命令之后屏幕显示的内容,你将发现路由表分为五列。第一列是网络目的地址。列出了路由器连接的所有的网段。网络掩码列提供这个网段本身的子网掩码,而不是连接到这个网段的网卡的子网掩码。这基本上能够让路由器确定目的网络的地址类。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 第三列是网关。一旦路由器确定它要把这个数据包转发到哪一个目的网络,路由器就要查看网关列表。网关表告诉路由器这个数据包应该转发到哪一个IP地址才能达到目的网络。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 接口列告诉路由器哪一个网卡连接到了合适的目的网络。从技术上说,接口列仅告诉路由器分配给网卡的IP地址。那个网卡把路由器连接到目的网络。然而,路由器很聪明,知道这个地址绑定到哪一个物理网卡。[/color][/color][/color]
[size=2][color=indigo][font=宋体][size=2][size=7] [/size]最后一列是测量。测量本身是一种科学。但是,我将设法简单向你解释一下它们做什么。我听说过的一个最佳的解释测量的方法是用机场的词汇对此进行解释。设想一下,我需要从北卡罗来纳州的加洛特市飞往佛罗里达州的迈阿密。由于加洛特机场非常大,我要去迈阿密海滩可以有很多选择。我可以乘坐西北航空公司的班机。那个班机能把我带到密执安州的底特律,然后从底特律飞往迈阿密。我还可以乘坐大陆航空公司的班机飞往休斯顿,然后飞往迈阿密。另一个选择是乘坐美国航空公司的飞机直接飞往迈阿密。我应该选择哪一条线路呢?[/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size] [font=宋体][font=宋体][size=2][color=indigo]在现实生活中,有许多因素值得考虑,如飞机票的价格和起飞的时间等。但是,让我们假设这一切都是相同的。如果除了航线之外,航班都是一样的,那么,我会选择中途停留最少的航班。那会使我以最快的速度到达目的地。由于停留的次数少,我的衔接出问题的机会就少,行李丢失等问题也会减少。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 路由是以同样的方式工作的。许多时候,路由器有很多方法发送一个数据包。在这种情况下,以最短的(或者最可靠的)路径发送数据包是有意义的。测量就在这里发挥作用了。Windows一般不查看测量列,除非通向一个目的地有很多路径。如果有多个路径,Windows将查看测量列以确定最短的路径。这是一种非常简单的解释。但是,这种解释说明了要点。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 额外的路由选择[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 早些时候,我曾介绍过“Route Print”命令。但是,你用“Route”命令实际上能够做很多事情。“Route”命令的参数如下:[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] ROUTE [-f] [-p] [command [destination] [][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] -f开关是可以选择的。这个开关告诉Windows清除路由表中所有的网关输入记录。如果这个-f开关与其它命令一起使用,那么,在执行这个命令中的其它指令之前,所有的网关输入记录都将被清除。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] -p开关使指定的路由保持不变。一般来说,当服务器重新启动的时候,你通过“ROUTE”命令指定的任何路由都会被删除。-p开关告诉Windows保留这个路由,即使系统重新启动也不改变。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] “ROUTE”命令参数的命令部分相对简单一些。这个命令集包含PRINT、ADD、DELETE和CHANGE四个选项。我曾向你们介绍过“ROUTE PRINT”命令。即使这个命令也包含其它的选项。例如,你可以使用通配符与这个命令一起使用。例如,如果你只要输出与192.x.x.x子网有关的路由,你可以使用这个命令:“ ROUTE PRINT 192*”。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] “ROUTE DELETE”命令的工作方式与“ROUTE PRINT”非常相似。简单地输入“ROUTE DELETE”命令,然后输入你要从路由表中删除的目的地址和网关就可以了。例如,如果你要删除192.0.0.0网关,你可以输入这个命令:“ROUTE DELETE 192.0.0.0”。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] “ROUTE CHANGE”和“ROUTE ADD”命令的基本参数都相同。当你输入这个命令的时候,你必须指定目的地、子网掩码和网关。你还可以指定一个测量和接口,不过,这是可以选择的。例如,如果你要使用最低参数增加一个目的地,你可以输入如下命令:ROUTE ADD 147.0.0.0 255.0.0.0 148.100.100.100[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 在这个命令中,147.0.0.0是你新增加的目的地址。255.0.0.0是这个目的地址的子网掩码,148.100.100.100是网关。你可以使用METRIC和IF这两个参数扩大这个命令的功能。例如:ROUTE ADD 147.0.0.0 255.0.0.0 148.100.100.100 METRIC 1 IF 1[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 测量这个参数是可以选择的。但是,它指定了测量或者路由跳数的数量。IF参数告诉Windows使用哪一个网卡。在这种特殊的情况下,Windows将使用作为接口1与Windows绑定的网卡。如果你不使用IF参数,Windows将搜索可供使用的最佳的网卡。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[size=2][color=indigo][font=宋体][size=10][/size][/color][/color] [font=宋体][font=宋体][size=2][color=indigo] 结论[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 在这篇文章中,我解释了如何使用“ROUTE”命令显示Windows路由表,和如果有必要的话如何修改这些路由表。如果你需要一些额外的帮助,你输入“ROUTE /?”命令可以得到更多的参数的例子。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]- 作者: 凌风雪 2006年03月30日, 星期四 17:53 回复(0) | 引用(0) 加入博采 [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]DOS下Route命令 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]WINDOWS系统下设置路由 [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]在WINDOWS下手动设置路由主要在DOS系统中命令符下(在运行输入栏中键入COMMAND或者CMD即可)进行。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]键入命令ROUTE回车会出现大约几十行英文说明,主要解说在WINDOWS系统中如何添加、删除、修改路由。现简单介绍如下: [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]ROUTE命令格式如下: [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]ROUTE [-f] [-p] [command [destination] [MASK netmask] [gateway] [METRIC metric] [IF interface] [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]其中 –f 参数用于清除路由表,-p参数用于永久保留某条路由(即在系统重启时不会丢失路由,但在WINDOWS95下无效)。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]Command主要有PRINT(打印)、ADD(添加)、DELETE(删除)、CHANGE(修改)共4个命令。 [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]Destination代表所要达到的目标IP地址。 [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]MASK是子网掩码的关键字。Netmask代表具体的子网掩码,如果不加说明,默认是255.255.255.255(单机IP地址),因此键入掩码时候要特别小心,要确认添加的是某个IP地址还是IP网段。如果代表全部出口子网掩码可用0.0.0.0。 [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]Gateway代表出口网关。 [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]其他interface和metric分别代表特殊路由的接口数目和到达目标地址的代价,一般可不予理会。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]在WINDOWS系统下有4条最基本路由,永不消失,如果上述路由不完整,则说明TCP/IP的安装和运行存在某些最基本问题、或本机网络配置或者安装存在问题。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]127.0.0.1用于测试回送(loopback)地址,不能作为有效的网络地址。PC1的IP地址为192.168.97.1,路由器1(用于上互联网)的局域口IP地址为192.168.97.10,路由器2(用于上办公网)的局域口IP地址为192.168.97.11。[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]如果PC1同时想访问互联网和办公网,通常情况是在WINDOWS网络属性反复修改默认网关,每次还只能访问1个网段,既不方便也非常麻烦。为解决这个问题可在DOS命令符下键入如下命令: [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]route add 0.0.0.0 maks 0.0.0.0 192.168.97.10(用于上互联网)、 [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]route add 10.42.29.0 mask 255.255.255.0 192.168.97.11(用于上办公网)。 [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]这样将互联网作为默认路由,办公网用作特殊路由添加,当然,如果还有其他系统,可采用同样路由添加。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]为了确保路由正确、避免引起路由混乱,最好先删除路由,再添加路由。比如上面的命令可改为: [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]route delelte 0.0.0.0 [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]route add 0.0.0.0 maks 0.0.0.0 192.168.97.10 [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]route add 10.42.29.0 mask 255.255.255.0 192.168.97.11。 [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[color=indigo][font=宋体][size=2]为了确保路由设置长久生效,可将上述命令加入AUTOEXEC.BAT[font=宋体]文件中,即操作系统一启动就自动设置路由。当然也可在第一次添加路由时加入-P[font=宋体]参数。[/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font] [font=宋体][font=宋体][color=indigo][size=2]具体如下: [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2][/size][/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2]route –p add 0.0.0.0 maks 0.0.0.0 192.168.97.10 [/size][/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2][/size][/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2]route –p add 10.42.29.0 mask 255.255.255.0 192.168.97.11。 [/size][/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2][/size][/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2]这时用route print查看路由,就可以看到有两条永久路由添加到路由表中了。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2][/size][/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2]- 作者: 凌风雪 2006年03月30日, 星期四 17:07 回复(0) | 引用(0) 加入博采 [/size][/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2]IP路由选择过程 [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] IP的路由处理是一个相当简单并没有多少变化的过程,它与网络的大小无关。作为示例,我们可以使用下面的拓朴来一步一步地描述当主机A需要与不同网络上的主机B进行通信时会发生什么。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 172.16.10.2 172.16.10.1 172.16.20.1 172.16.20.2[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 主机A ――――Ethernet0 路由器 Ethernet1――――主机B[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 在这个示例中,主机A上的某个用户ping主机B的IP地址。路由的过程将不会变得比这里更为简单,但它将会涉及许多步骤。让我们来看一下这个过程:[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 1、因特网控制报文协议(ICMP)将创建一个回应请求数据包。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 2、ICMP将把这个有效负荷交给因特网协议(IP),然后IP协议会创建一个数据包。这是,这个数据包将包含源IP地址、目的IP地址和值为01h的协议字段。在本例中,当数据包到达目的地时,所有这些内容会告诉接收方主机,它应该将这个有效负荷交给ICMP处理。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 3、一旦数据包被创建,IP协议将判断目的IP地址是处在本地网络中,还是处在一个远程网络上。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 4、由于IP协议断定这是一个远程请求,这个数据包需要被发送到默认网关,这样这个数据包才会被路由到远程网络。在Windows中的注册表将被使用以查找被配置的默认网关。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 5、主机172.16.10.2(主机A)的默认网关被配置为172.16.10.1。要能够发送这个数据包到默认网关,必须知道路由器的Ethernet 0(其IP地址被配置为172.16.10.1)的硬件地址。为什么?因为只有这样的数据包才可以被下传给数据链路层,并成帧,然后发送给路由器与172.16.10.0网络的连接端口。在本地局域网上,主机只可以通过硬件地址来进行通信。理解主机A要与主机B通信,它必须将数据包发送到本地网络中的默认网关的MAC地址处,这一点是非常重要的。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 6、接着,检查ARP缓存,查看默认网关的IP地址是否已经解析为硬件地址。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 。如果已经被解析,数据包将被释放、传送到数据链路层并成帧(目的方的硬件地址也将同数据包一起下传到数据链路层)。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 。如果这个硬件地址在主机的ARP缓存中尚未被解析,一个ARP广播将被发送到此本地网络,以搜索172.16.10.1的硬件地址。路由器响应这个请求并提供Ethernet 0硬件地址,接着这一主机将缓存这个地址。同时路由器也会缓存这个主机A的硬件地址到ARP缓存中。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 7、一旦这个数据包和目的的硬件地址被交付给数据链路层,局域网驱动器将被用来提供媒体访问以通过所用类型的局域网(在本例中,即以态网)。一个数据帧将产生,使用控制消息来封装此数据包。在这个帧中包含有目的方和源方的硬件地址,及以态网类型字段(这个字段里描述的是交付此数据包到数据层的网络层协议),在本例中,这个协议为IP协议。在这个帧的结尾处是被称为帧检验序列(FCS)的字段,它是装载循环冗余校验 (CRC) 计算值的区域。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 8、一旦帧的封装被完成,这个帧将被交付到物理层,以一次一位的方式发往物理媒体(在本例中,是双绞线对)。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 9、此冲突域中的每个设备将接收这些位并重建成帧。它们每个都将运行CRC并核对保存在FCS字段中的内容。如果这两个值不相匹配,此帧将被丢弃。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 。如果这个CRC值相吻合,然后目的方的硬件地址也将被核查(在这个示例中,指的是路由器的Ethernet 0接口),检查它们是否也匹配。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 。如果它是匹配的,那么,路由器将查看以态网类型字段,以了解在网络层上使用的协议。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 10、数据包将从帧中抽出,然后这个帧剩下的部分将被丢弃。数据包将被传送给以态网类型字段中列出的上层协议,在这里是传递给IP协议。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 11、IP会接收这个数据包,并检查其IP地址。由于数据包的目的地址与接收路由器所配置的任一地址不相匹配,路由器将会在路由表中查看目的IP网络的地址。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 12、此路由表中必须包含有172.16.20.0的表项,否则此数据包将被立即告丢弃,然后一个携带有”destination network unavailable”信息的ICMP包将被发送回源方设备。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 13、如果路由器的确在它的路由表中查找到了目的方的网络,数据包将被交换到输出接口,在示例中,有Ethernet 1接口。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 14、路由器将交换此数据包到Ethernet 1的缓冲区内。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 15、Ethernet 1 的缓冲区需要了解目的方的硬件地址,它首先检查ARP缓存。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 。如果主机B的硬件地址已经被解析,则这个数据包和这个硬件地址将被传递到数据链路层以便形成帧。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 。如果硬件地址没有被解析,路由器将从E1发送一个ARP请求,期待172.16.20.2的硬件地址。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] 主机B会使用它的硬件地址来进行响应,然后这个包和硬件地址都会被发送到数据链路以组成帧。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2] [/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size]
[font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][color=#4b0082][size=2] [/size][size=2][font=宋体]16[font=宋体]、数据链路层将使用这个目的地址和源方的硬件地址,有以态网的类型字段和处于帧尾部的FCS[font=宋体]字段来创建一个帧。这个帧将被传送到物理层,并以一次一位的方式发送到物理媒体上。[/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font]
[[i] 本帖最后由 连长A 于 2006-9-5 12:18 编辑 [/i]] [font=宋体][font=宋体][size=2][color=indigo]17、主机B会接收到此帧并立即运行CRC。如果运算与FCS字段中的内容匹配,这个目的方的硬件地址将被检查。如果主机发现是匹配的,随后将检查以态网类型字段中的值,以判断应该将数据包上传给网络层的什么位置(在本示例中,为IP协议)。[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 18、在网络层,IP会接收这个数据包并检查其目的地址方的IP地址。由于终归它们是匹配的,数据包的协议字段将被检查以了解此有效负荷应该交付给谁。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 19、此有效负荷会交付给ICMP,它将知道这是一个回应请求。ICMP会应答这个请求,通过即刻丢弃这个数据包并随后产生一个新的有效负荷来作为回应应答。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 20、随后创建的数据包中将包含有源方和目的方的地址、协议字段和有效负荷。现在目的方设备的主机A。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 21、然后,IP将检查以了解这个目的主的IP地址是否是一个本地局域网上的设备,或者是一个存在于远程网络上的设备。由于这个目的主的设备位于远程网络,此数据包将需要被发送到默认网关上。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 22、在此Windows设备的注册表上,可以找到默认网关的IP地址,这后将查看ARP缓存,以了解是否已经完成了从IP地址到硬件地址的解析。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 23、一旦默认网关的硬件地址被找到,此数据包和目的方的硬件地址都将被送往数据链路层以完成帧的封装。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 24、数据链路层会封装数据包的内容,并在帧报头中包含以下内容:[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 。目的方和源方的硬件地址[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 。在以态网类型字段中填入0x800(IP)[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 。将CRC结果填入FCS字段[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 25、这时,帧将被下传给物理层,并以一次一位的方式发送到网络媒体上。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 26、路由器的Ethernet 1接口会接收到这些位并重建为一个帧。CRC校验被运行,帧的FCS字段被校验以确认这两个结果是相符的。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 27、一旦CRC校验通过,硬件目的地址将被检查。由于路由器的接口同这个地址是相匹配的,数据包将被从这个帧中取出,然后以态网类型字段将被检查以了解此数据包应该投递给网络层上的哪一个协议。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 28、由于协议被判断为IP,于是IP将得到这个数据包。首选取IP将对IP报头运行CRC校验,然后检查目的方的IP地址。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 说明:IP并没有像数据链路层那样使用完整的CRC校验,它只校验报头的错误。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 由于IP目的地址与路由器的各个接口的IP地址并不相匹配,路由器将会查看路由表,以了解是否存在一个通往172.16.10.0的路由。如果不存在一个路由可以到达目的网络,该数据包将立即丢弃(这是一个令许多管理员困惑的点,当ping失败时,许多人会认为这个数据包决没有到达目的主机。但是正如我们在这里所看到的,事情并不总是这样。上面所有造成这一现象的原因,仅仅是由于远端路由器缺乏返回源方主机网络的路由并将数据包丢弃!数据包被丢弃在返回源方的旅途中,并不是丢失在它前往目的主机的过程中)。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 说明: 有点需要提示一下,当数据包在返回原主机的途中被丢弃时,由于这是一个未知的错误,通常你将会看到”request timed out”的信息。如果出现在错误是一个已知错误,如假设在去往目的设备的路途中路由表没有可用的路由,你将会得到”destination unrechable”的信息。根据这些信息,你可以判断问题是发生在去往目的的路上,还是在返回的途中。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 29、这里路由器确实知道到达网络172.16.20.10的方式,这一输入出的接口是Ethernet 0,于是数据包将被交换到接口 Ethernet 0 上。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 30、路由器检查ARP缓存,确定172.16.10.2的硬件地址是否已经被解析。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 31、由于在将数据包传送到主机B的过程中,172.16.10.2的硬件地址已经被缓存起来了,因此,这一硬件地址和数据包将被传送到数据链路层。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 32、数据链路层会使用这个目的地址的硬件地址和源方的硬件地址,然后,将IP放入以态网类型字段中。并对这个帧进行CRC运算,并将此运行结果放入FCS字段中。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 33、这个帧然后被传送到物理层,以一次一位的方式发送到本地网络。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 34、目的方的主机交接收这个帧,运行CRC运算,检验目的方的硬件地址,并将查看以态网类型字段中的内容以断定谁来处理这个帧。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 35、由于IP是被指定的接收者,随后这个数据包将传递给网络层的IP协议,它将检查包的协议字段以确定进一步的操作。IP将发现要将此有效负荷交给ICMP的指示,接着ICMP将确定此数据包是一个ICMP的应答回复包。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 36、ICMP将通过发送一个惊叹号(!)到用户接口来表示它已经接收到一个回复。这之后ICMP将会尝试继续发送四个应答请求到目的方的主机。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 这里,只经历了36个简单的步骤来了解IP路由的过程。在这里要理解的关键问题是,即使对于一个非常大的网络,这个处理过程也将是一样的。在一个较大的互联网络路中,数据包在找到目的主机之前需要通过更多的路由器。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 说明:需要牢记的一个重要的问题是,当主机A发送数据包到主机B时,所使用的目的方硬件地址是默认网关的以太网接口。这里因为数据帧是不可以直接发往远程网络的,它只有首先发送到本地网络上,而且去往远程网络的数据包必须要通过默认网关转发。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]EtherPeek NX在网络维护中的应用 [/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color]
[font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][size=2][color=#4b0082][/color][/size]
[color=indigo][font=宋体][size=2] 摘要:该文分析了EtherPeek NX[font=宋体]的工作原理,主要利用EtherPeek NX[font=宋体]的数据包截取和分析功能来对NetRobocop[font=宋体](网络执法官)数据包的分析,了解局域网和NetRobocop[font=宋体]的基本原理,从而更好地维护网络的安全和畅通。[/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font]
[[i] 本帖最后由 连长A 于 2006-9-5 12:19 编辑 [/i]] [font=宋体][font=宋体][size=2][color=indigo]关键字:EtherPeek NX ,NetRobocop ,ARP欺骗[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]一、前言[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]随着计算机网络技术的发展,特别是INTERNET的广泛使用,网络也被各行各业所广泛应用。网络的使用给人们的日常工作和生活带来了很大的好处,然后网络的结构越来越复杂,规模越来越大,另外在网络上也存在着各种网络不安全的因素存在,对于这样的情况,网络管理人员必定要借助各种网络分析工具来实现网络的管理和维护。其中网络监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直倍受网络管理员的青睐。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]二、EtherPeek NX简介[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]网络监听也就是我们经常听到的网络嗅探(Sniffer),它是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。Sniffer的工具有很多,其中WildPackets 公司的EtherPeek NX是比较常用也是功能比较强的一种。在2003年度的CMP Media's Network Magazine上WildPackets公司的EtherPeek NX v2.0和RMONGrabber被评为最佳产品。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]EtherPeek NX软件评估及分析整个OSI七层的架构。解析每个封包及即时的监视网路的各种状态,包含各个网络结点及网络架构的问题。问题的自动识别能对其发生的问题提供说明及解决方案,并可以追踪36种以上的网络状况,及提供Latency及Throughput解析。还能将网络上的所有结点沟通的状态以图形的方式完全显示出来。它的显示方式让管理者能非常容易的了解网络目前的状況。[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]三、局域网工作原理[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]现在的局域网以IEEE802.3的以太网为主流,以太网和TCP/IP可以说两者的关系几乎是密不可分。TCP/IP是一个协议族,以TCP(传输控制协议)和IP(因特网协议)为主,还包括了很多其他的协议,下面是TCP/IP中的各种常用协议以及它们和OSI参考模型的对照。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]SMTP[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] DNS[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] HTTP[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] FTP[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] TELNET[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]TCP[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] UDP[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]IP[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] ICMP[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] ARP[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] RARP[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]IEEE 802 以太网 SLIP/PPP PDN 等[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]网卡、电缆、双绞线等[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]图1 TCP/IP的网络体系结构[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]应用层[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]传输层[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]网络层[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]数据链路层[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]物理层[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]从上面的图中我们可以看出,第一层物理层和第二层数据链路层是TCP/IP的基础,而TCP/IP本身并不十分关心低层,因为处在数据链路层的网络设备驱动程序将上层的协议和实际的物理接口隔离开来。网络设备驱动程序位于数据链路层的介质访问子层(MAC)。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[size=10][size=2][color=indigo][/color][/color][/size] [font=宋体][font=宋体][size=2][color=indigo]TCP/IP使用32位的IP地址,以太网则使用48位的硬件地址,这个硬件地址也就是网卡的MAC地址,两者间使用ARP和RARP协议进行相互转换。[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]在每台连网的计算机上都保存着一份ARP缓存表,ARP缓存表中存放着和它连入的计算机的IP地址和MAC地址的对照表,每台计算机在和其他计算机连接时都会查询本地的ARP缓存表,找到了对方的IP地址的MAC地址,那么就会进行数据传输,目的地就是对方的MAC地址。如果这台计算机中没有对方的ARP记录,那么它首先要广播一次ARP请求,连网的计算机都能收到这个广播信息,当对方的计算机接收到请求后就发送一个应答,应答中包含有对方的MAC地址,当前计算机接收到对方的应答,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态更新的。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]以太网采用广播机制,所有与网络连接的工作站都可以看到网络上传递的数据。在正常的情况下,一个网络接口应该只响应这样的两种数据帧: [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]1. 与自己硬件地址相匹配的数据帧。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]2. 发向所有机器的广播数据帧。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]数据的收发是由网卡来完成的,网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。CPU得到中断信号产生中断,操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。而对于网卡来说一般有四种接收模式: [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]广播方式:该模式下的网卡能够接收网络中的广播信息。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]组播方式:设置在该模式下的网卡能够接收组播数据。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]直接方式:在这种模式下,只有目的网卡才能接收该数据。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]混杂方式:在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]EtherPeek NX正是使用了网卡的混杂模式,让网卡接收一切它所能接收的数据,这就是EtherPeek NX的基本工作原理。知道了它的工作原理我们就可以用它来进行网络数据包的截取和分析以及控制了。[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]四、EtherPeek NX对NetRobocop数据包的截取和分析[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]正因为EtherPeek NX能接收局域网中的所有数据,并能对数据进行分析,那么我们可以利用它来进行网络上数据的分析和侦察,找出网络中非法数据,并对它作出有效的控制。下面就以网络工具软件NetRobocop(网络执法官)为例来用EtherPeek NX对它的数据包进行分析。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]NetRobocop这个软件用于管理局域网,它可以获取每个IP地址和MAC地址的对应表,也能反映网络用户的连接状况,可以限定各机器(包括计算机和指定了IP的网络设备)所用的IP、上网时段,以及阻止未经登记的计算机与网络连接,记录与网络连接的各机器的上网时间。但是它一旦被人非法使用就会造成网络的混乱,而且NetRobocop这个工具软件也没有公布它的原理,用EtherPeek NX对它数据包的分析也能了解一下这个软件的原理。[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]以下使用了局域网中三台计算机,分别是:[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]计算机A IP地址192.168.11.1 MAC地址 00-e0-4c-3c-0f-14 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]计算机B IP地址192.168.11.2 MAC地址 00-e0-4c-02-88-24 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]计算机C IP地址192.168.11.3 MAC地址 00-e0-4c-3c-05-20 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]其中在计算机C上安装了NetRobocop软件和EtherPeek NX软件。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]在没有运行NetRobocop的正常网络情况下,我们查询计算机A和B的ARP缓存表如下:[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]计算机A上 C:\WINDOWS\Desktop>arp -a[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]Interface: 192.168.11.1 on Interface 0x1000002[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] Internet Address Physical Address Type[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 192.168.11.2 00-e0-4c-3b-f0-46 dynamic[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 192.168.11.3 00-e0-4c-3c-05-20 dynamic[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]计算机B上 C:\WINDOWS\Desktop>arp -a[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]Interface: 192.168.11.2 on Interface 0x1000002[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] Internet Address Physical Address Type[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 192.168.11.1 00-e0-4c-3c-0f-14 dynamic[/color][/color][/color]
[size=10][size=2][color=indigo] 192.168.11.3 00-e0-4c-3c-05-20 dynamic[/color][/color] [font=宋体][font=宋体][size=2][color=indigo]在运行了NetRobocop后,它会列出所有设定IP地址网段内连网的计算机,显示了包括该计算机的IP地址、MAC地址、计算机名字、上线时间及网卡型号等信息。在没有对其他用户限制权限时,通过EtherPeek NX的Capture功能获取数据进行分析可以看到,NetRobocop是通过不停的向网络上发送某个网段内的所有IP地址的ARP请求数据,询问对方计算机的MAC地址,每台计算机在收到这个ARP请求数据后就返回一个ARP响应数据,返回给发送方自己的MAC地址,对这个正常的ARP响应数据分析显示它的信息如下(计算机B发送给计算机C的ARP响应):[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Flags: 0x00[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Status: 0x00[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Packet Length:64 / 数据包长度[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Timestamp: 11:04:07.168000 09/25/2003[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]Ethernet Header[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] Destination: 00:E0:4C:3C:05:20 / 目标MAC地址[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Source: 00:E0:4C:3B:F0:46 / 源MAC地址[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Protocol Type: 0x0806 IP ARP / 协议类型[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]ARP - Address Resolution Protocol[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] Hardware: 1 Ethernet (10Mb)[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Protocol: 0x0800 IP[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Hardware Address Length:6[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Protocol Address Length:4[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Operation: 2 ARP Response / ARP响应[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Sender Hardware Address:00:E0:4C:3B:F0:46 / 发送方MAC地址[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Sender Internet Address:192.168.11.2 / 发送方IP地址[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Target Hardware Address:00:E0:4C:3C:05:20 / 接收方MAC地址[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Target Internet Address:192.168.11.3 / 接收方IP地址[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]Extra bytes[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] Number of bytes:[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] .. 00 00 / 填充数据[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]FCS - Frame Check Sequence[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] FCS (Calculated): 0xDEC47B2A / 校验和[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]这时候的网络充满了ARP请求数据和ARP响应数据,这些数据占用了很大的网络带宽,降低了网络的流量和利用率,不管你是通过Capture获取数据的方式来分析或者利用EtherPeek NX的协议类型数据分析或者流量分析都可以看出。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]接下来就进行NetRobocop的限制权限功能,看看它到底是怎样限制网络上用户的连网的。在计算机C上对计算机B进行限制,禁止它和其它主机相连。这时候查看计算机A和计算机B的ARP缓存表可以看出来它把各自计算机的ARP缓存表中计算机A和计算机B的MAC地址(下面框出来的部分)给换掉了。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]计算机A上 C:\WINDOWS\Desktop>arp -a[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]Interface: 192.168.11.1 on Interface 0x1000002[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] Internet Address Physical Address Type[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 192.168.11.2 00-e0-4c-02-88-24 dynamic[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 192.168.11.3 00-e0-4c-3c-05-20 dynamic[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]计算机B上 C:\WINDOWS\Desktop>arp -a[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]Interface: 192.168.11.2 on Interface 0x1000002[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] Internet Address Physical Address Type[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 192.168.11.1 00-e0-4c-05-77-76 dynamic[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 192.168.11.3 00-e0-4c-3c-05-20 dynamic[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]其实这就是一个ARP欺骗。这时候如果计算机B有发送到IP为192.168.11.1的计算机A的数据通过查找ARP缓存表就转换成其它的MAC地址,数据到达计算机A后它通过对照MAC地址,发现不是自己的MAC地址就丢弃这个数据,计算机A就收不到计算机B发来的数据,也就是计算机B不能连通计算机A。但是计算机C为了还能控制计算机B,它不修改自己的MAC地址,保持着和计算机B的通信。[/color][/color][/color]
[size=2][color=indigo][font=宋体][size=10][/size][/color][/color] [font=宋体][font=宋体][size=2][color=indigo]实现这个ARP欺骗的过程通过EtherPeek NX的数据截取和分析可以看出它采用的也是ARP响应数据。ARP协议并不只在发送了ARP请求数据才接收ARP响应数据。当计算机接收到ARP响应数据的时候,就会对本地的ARP缓存表进行更新,将ARP响应中的IP地址和MAC地址存储在ARP缓存表中。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]这个ARP欺骗的ARP响应数据其实就是计算机C借用了计算机A的IP地址向计算机B发送了一个随机伪造的MAC地址,它的数据包如下:[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Flags: 0x00[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Status: 0x00[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Packet Length:64[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Timestamp: 11:04:08.318000 09/25/2003[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]Ethernet Header[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Destination: 00:E0:4C:3B:F0:46[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Source: 00:E0:4C:05:77:76 / 伪造的MAC地址[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Protocol Type: 0x0806 IP ARP[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]ARP - Address Resolution Protocol[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Hardware: 1 Ethernet (10Mb)[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Protocol: 0x0800 IP[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Hardware Address Length:6[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Protocol Address Length:4[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Operation: 2 ARP Response[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Sender Hardware Address:00:E0:4C:05:77:76 / 伪造的MAC地址 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Sender Internet Address:192.168.11.1 / 伪造的计算机A的IP地址[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Target Hardware Address:00:E0:4C:3B:F0:46[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Target Internet Address:192.168.11.2[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]Extra bytes[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] Number of bytes:[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 20 20[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]FCS - Frame Check Sequence[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] FCS (Calculated): 0xC3277168[/color][/color][/color]
[color=indigo][size=2][color=indigo]ARP[/color][/size][font=宋体][size=2][color=indigo]缓存表是动态更新的,如果只发送一个这样的带ARP[/color][/size][font=宋体][size=2][color=indigo]欺骗的ARP[/color][/size][font=宋体][size=2][color=indigo]响应数据,在经过一段时候没有通信后它就会从ARP[/color][/size][font=宋体][size=2][color=indigo]缓存表中删除,下次再有连接的话就再进行ARP[/color][/size][font=宋体][size=2][color=indigo]请求和ARP[/color][/size][font=宋体][size=2][color=indigo]响应,更新成正确的MAC[/color][/size][font=宋体][size=2][color=indigo]地址。为了防止ARP[/color][/size][font=宋体][size=2][color=indigo]缓存更新,NetRobocop[/color][/size][font=宋体][size=2][color=indigo]在一直不停地给计算机B[/color][/size][font=宋体][size=2][color=indigo]发送这个带ARP[/color][/size][font=宋体][size=2][color=indigo]欺骗的ARP[/color][/size][font=宋体][size=2][color=indigo]响应数据。同时它也一直不停的向计算机A[/color][/size][font=宋体][size=2][color=indigo]发送带ARP[/color][/size][font=宋体][size=2][color=indigo]欺骗的ARP[/color][/size][font=宋体][size=2][color=indigo]响应数据,这样就可以完全阻止计算机A[font=宋体]和计算机B[font=宋体]的双方的通信。[/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font]
[font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][color=indigo][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][size=2][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size]
[font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][color=indigo][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][font=宋体][size=2][color=#000000][font=宋体][size=10][/size][/color]
[color=indigo][font=宋体][/font][/font]
[color=indigo][font=宋体][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font] [font=宋体][size=2][color=indigo][/color][/color][/color][font=宋体][color=indigo][size=2]如果发送方和接收方的IP地址一样会怎样呢?也就是我们经常见到的IP地址冲突警告,NetRobocop就是利用它来产生IP地址冲突的。计算机C发给计算机A的IP冲突的ARP响应数据如下:[/size][/size]
[font=宋体][color=indigo][size=2] Flags: 0x00[/size][/size]
[font=宋体][color=indigo][size=2] Status: 0x01[/size][/size]
[font=宋体][color=indigo][size=2] Packet Length:64[/size][/size]
[font=宋体][color=indigo][size=2] Timestamp: 11:06:29.841000 09/25/2003[/size][/size]
[font=宋体][color=indigo][size=2]Ethernet Header[/size][/size][/size]
[font=宋体][color=indigo][size=2] Destination: 00:E0:4C:3C:0F:14[/size][/size]
[font=宋体][color=indigo][size=2] Source: 00:E0:4C:78:84:6B / 伪造的MAC地址[/size][/size]
[font=宋体][color=indigo][size=2] Protocol Type: 0x0806 IP ARP[/size][/size]
[font=宋体][color=indigo][size=2]ARP - Address Resolution Protocol[/size][/size][/size]
[font=宋体][color=indigo][size=2] Hardware: 1 Ethernet (10Mb)[/size][/size]
[font=宋体][color=indigo][size=2] Protocol: 0x0800 IP[/size][/size]
[font=宋体][color=indigo][size=2] Hardware Address Length:6[/size][/size]
[font=宋体][color=indigo][size=2] Protocol Address Length:4[/size][/size]
[font=宋体][color=indigo][size=2] Operation: 2 ARP Response[/size][/size]
[font=宋体][color=indigo][size=2] Sender Hardware Address:00:E0:4C:78:84:6B / 伪造的MAC地址[/size][/size]
[font=宋体][color=indigo][size=2] Sender Internet Address:192.168.11.1 / 伪造的和接收方相同的IP地址[/size][/size]
[font=宋体][color=indigo][size=2] Target Hardware Address:00:E0:4C:3C:0F:14[/size][/size]
[font=宋体][color=indigo][size=2] Target Internet Address:192.168.11.1[/size][/size]
[font=宋体][color=indigo][size=2]Extra bytes[/size][/size][/size]
[font=宋体][color=indigo][size=2] Number of bytes:[/size][/size]
[font=宋体][color=indigo][size=2] ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00[/size][/size]
[font=宋体][color=indigo][size=2] .. 00 00[/size][/size]
[font=宋体][color=indigo][size=2]FCS - Frame Check Sequence[/size][/size][/size]
[font=宋体][color=indigo][size=2] FCS (Calculated): 0xFE9194DA[/size][/size]
[font=宋体][color=indigo][size=2]这样,计算机A在收到这个带IP冲突的ARP响应数据后,网卡在检测到发送方和接收方使用了相同的IP地址,就会产生一个IP地址冲突中断,CPU接收中断后就弹出一个警告窗口。这个带IP冲突的ARP响应数据也是在一直不停地发送的,所以计算机A就一直收到这个IP冲突警告。[/size][/size]
[font=宋体][color=indigo][size=2][/size][/size]
[font=宋体][color=indigo][size=2]五、EtherPeek NX对NetRobocop的解决方法[/size][/size]
[color=indigo][font=宋体][size=2]通过对NetRobocop[/size][font=宋体][size=2]数据的截取和分析,了解了NetRobocop[/size][font=宋体][size=2]这个网络软件的基本原理。一旦这个软件被非法使用,某些用户可能被非法限制权限后就很难摆脱它的控制,而且它是利用网络的底层功能ARP[/size][font=宋体][size=2]欺骗来实现控制,没有什么现成的工具和软件来阻止这种限制,除非它对你取消限制权限才有可能正常连网使用。那我们对这种限制是否就束手无策了呢?答案当然是否定的,其实我们可以用NetRobocop[/size][font=宋体][size=2]的ARP[/size][font=宋体][size=2]欺骗原理来进行反击,摆脱它的控制,保持网络的正常状态。当然在这种情况下,网络上就会充满了这些ARP[/size][font=宋体][size=2]的数据包,占用很大的网络流量,影响正常的网络使用。使用的方法可以这样来实现,因为一旦受到NetRobocop[/size][font=宋体][size=2]的限制,你已经没办法和其他计算机进行通信,但控制你的那台计算机还可以和你通信,我们就是利用它的这个线索找到控制你的计算机,通过EtherPeek NX[/size][font=宋体][size=2]的Capture[/size][font=宋体][size=2]功能就可以发现,找出它的IP[/size][font=宋体][size=2]地址和MAC[/size][font=宋体][size=2]地址,然后通过EtherPeek NX[/size][font=宋体][size=2]的发送数据功能给它也发送带ARP[font=宋体]欺骗的ARP[font=宋体]响应数据,让它断开和其他计算机的连接,从而摆脱它的控制。[/font][/font]
[/font][font=宋体][color=indigo][/color]
[font=宋体][color=indigo][/color]
[font=宋体][font=宋体][size=2][color=indigo]六、结束语[/color]
[/color][font=宋体][size=2][color=indigo]如EtherPeek NX和NetRobocop这些网络工具可以被网管人员用于加强安全性、加强网络的自由度,也可以被恶意用户用于非法的网络活动。我们只要能分析了这些网络工具的原理,就能用这些工具来更好地维护网络的安全和畅通[/color]
[font=宋体][color=indigo]- 作者: 挪威的森林 2006年03月30日, 星期四 08:41 回复(0) | 引用(0) 加入博采 [/color][/color]
[/color][font=宋体][size=2][color=indigo]网络故障排除参考大全 [/color]
[font=宋体][color=indigo]A.1.1 故障现象:网络性能降低的同时伴有FCS差错[/color][/color]
[font=宋体][color=indigo][/color][/color]
[/color][font=宋体][size=2][color=indigo] CSMA/CD算法在冲突发生时会引起校验和无效(即FCS差错),在发生次数不多的情况下属于正常现象,因此FCS差错与冲突同时发生、且发生次数在合理的范围内时就无需担忧。对于本故障现象,可以利用协议分析仪来检测某段时间内冲突发生的次数与FCS差错的次数并分析它们之间的特性曲线,如果在这两者之间找不到对应关系的话,则可能是如下原因之一:[/color]
[font=宋体][color=indigo][/color][/color]
[/color][font=宋体][size=2][color=indigo] 原因一:网络中存在噪声和干扰。[/color]
[font=宋体][color=indigo][/color][/color]
[/color][font=宋体][size=2][color=indigo] 在网络设备没有接地或接地不正确的时候就会产生噪声干扰,可以用电缆扫描仪或万用表来检测网络中的噪声电平。一个10Base2/10Base5网络中只能有一个接地连线,如果还存在另一个连线接地(如网卡差错或电缆损坏)的话,则由于两个地之间存在压降而引起电缆中的电流泄漏。[/color]
[font=宋体][color=indigo][/color][/color]
[/color][font=宋体][size=2][color=indigo] 原因二:电缆路由上有电磁干扰。[/color]
[font=宋体][color=indigo][/color][/color]
[/color][font=宋体][size=2][color=indigo] 复印机、电梯、手机以及寻呼机带来的电磁干扰都可能会引起FCS差错,可以用万用表来检测干扰情况并使用电缆测试仪来检测噪声情况。在检测电磁干扰时,可以检查电缆路由上是否存在电梯、电机、变电器、灯带以及带有高时钟频率或X射线仪器的计算机系统。[/color]
[font=宋体][color=indigo][/color][/color]
[/color][font=宋体][size=2][color=indigo] 原因三:网卡有故障。[/color]
[font=宋体][color=indigo][/color][/color]
[/color][font=宋体][size=2][color=indigo] 在检查是否由网卡故障引起FCS差错时,可以检查按网络节点排序的所有无效数据包(大多数协议分析仪都能自动生成这类标准的统计报告),如果发现某个节点比较可疑的话,则可以检测该节点的活动率(以数据包/秒为统计单位)与该节点所处网段的FCS差错发生次数。如果发现两者之间存在某种对应关系,那就有机会找到故障源。需要记住的是,由于网卡故障经常是间歇性的出现(如网卡达到一定温度时才出现),因此需要经过较长时间的监测才有可能得到准确和重复出现的故障结果。[/color]
[font=宋体][color=indigo][/color][/color]
[/color][font=宋体][size=2][color=indigo] 原因四:接头(如NIC、墙插、MAU、中继器、集线器等)松动或损坏。[/color]
[font=宋体][color=indigo][/color][/color]
[/color][font=宋体][size=2][color=indigo] 定位这类故障源的方法就是仔细检查网络路径上的所有连接情况。[/color]
[font=宋体][color=indigo][/color][/color]
[color=indigo][font=宋体] A.1.2 [font=宋体]故障现象:网络性能降低的同时伴有滞后冲突[/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font] [font=宋体][font=宋体][size=2][color=indigo]以太网中冲突次数的增加常常与线缆有问题(如线缆段过长)、网卡损坏、级联的中继器数量过多、终端电阻损坏或缺少等原因有关,如果能确定冲突属于滞后冲突还是正常冲突,将有助于我们缩小故障源的范围,滞后冲突的可能原因如下:[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因一:线缆长度超过了特定网络拓朴所能允许的最大长度。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 此时只需使用线缆测试仪测量一下线缆的长度即可。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因二:网络中级联的中继器数量过多。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 可以用网桥代替其中的一个中继器,或者改变网络的配置。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因三:网卡或MAU损坏。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 利用协议分析仪收集发送无效数据包最多的站点的运行统计数据,并收集冲突发生次数与活动站点的统计数据以检查两者之间是否存在对应关系,如果这些方法无法找到故障源的话,就必须使用网络分段法来排除网络故障了。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] A.1.3 故障现象:网络性能降低的同时伴有早期冲突[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因一:终端电阻损坏或缺失。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 10Base2和10Base5以太网必须带有50Ω的终端电阻,检查网络中所有需要终端电阻的地方是否均安装了正确的终端电阻,其阻抗可以用万用表来测量(阻抗值应介于48Ω~52Ω之间)。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因二:T型接头松动或损坏。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查网络中的所有接头,以确定是否有松动或损坏现象。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因三:网络中的节点数过多。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查每个网段中的MAU数量,一个10Baes2网段中最多不能超过30个MAU,而一个10Base5网段中最多也只能数据U讥2 /10Base5Mbit/s有100个MAU.[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因四:线缆被扭折。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 可以使用线缆扫描仪来定位并替换被扭折的线缆。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因五:电缆与IEEE 802.3不兼容。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] IEEE 802.3的10Base5电缆每隔2.5米就以一种颜色加以标记,为了减少连接点处的反射干扰,接头的插入点应选择在这些颜色的标记处。此外要记住,并不是所有的BNC接头都使用50Ω的电缆,尽管以太网能在75Ω的电缆上传输几十米之远,但是长度的增加迟早会引发网络故障,因而在检测网络故障时要检查所用电缆的规范。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] A.1.4 故障现象:网络速度慢、响应时间长(冲突与FCS差错均处于正常范围)[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因一:传输路径上的网桥或路由器的缓存溢出。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查路由器或网桥的统计数据(如CPU使用率、端口使用率等),利用协议分析仪检测哪个站点产生的经由网桥或路由器转发的流量最大?是否有超时现象出现?一般可以用ping命令来测试通过网桥或路由器的响应时间,以查明网络互连设备是否是引起故障的部分原因,如果是的话,就需要重新配置网络(如将部分服务器或客户机移到其他网段)以减轻重载互连设备的流量。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因二:光纤链路的传输问题。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 在光纤链路衰耗过大或发射光功率过低的情况下,如果光纤链路的传输距离过长可能会引起性能劣化(即使没有出现任何FCS校验差错)。此时可以用ping命令来检测有问题的光纤链路的响应时间,并检查光纤耦合器及线路衰耗的设置情况。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因三:存在本地网段路由。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 本地路由是网络速度减慢的常见原因,常常发生于子网地址不同、但连接在同一个LAN交换机下的两个节点之间的连接上,且LAN交换机连接在一个路由器下,这种本地路由有时也称为one-armed路由。此时,尽管这两个节点均连接在同一个交换机下,但它们之间的数据包必须经过路由器的路由之后才能到达对方。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] A.1.5 故障现象:间歇性的出现网络连接故障、网络性能降低以及帧对齐差错。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因一:网卡在每个FCS之后还发送了一些额外的比特。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 可以使用协议分析仪捕获在FCS之后有额外比特的数据帧(称为dribble数据帧或帧对齐差错的数据帧),从数据帧的源地址中就可以找到有故障的网卡。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因二:最大传输距离超出了以太网的规范。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 数据包能否到达最终目的地取决于发送站点和接收站点,在两个站点相距较近时一般没有什么问题,但是在两个站点相距较远、且处在同一个网段中时就有可能会出现连接问题。此时就需要尽力找出这类连接问题是否只与某些特定的节点有关,可以使用线缆测试仪来检测传输路径上的线缆长度和质量,必要时可以在传输路径上插入一个网桥或路由器。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因三:如果在传输路径上级联了过多的网桥或路由器,将会导致信号的传输延时增加和协议超时(如TCP超时),可以使用ping命令或响应时间代理来检测响应时间。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] A.1.6 故障现象:网络连接出现间歇性故障的同时伴有短包。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][size=10][size=2][color=indigo] 原因:网卡有故障。[/color][/size][/size] [font=宋体][font=宋体][size=2][color=indigo]可以使用协议分析仪捕获短包并从短包的源地址中找到发送节点,如果源地址字段损坏,则可采用前面讲述的相关测试方法来找到有故障的网卡。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] A.1.7 故障现象:网络连接出现间歇性故障的同时伴有超时传输包[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 原因一:由于在10Base2和10Base5以太网中存在两个接地连接,因而在网线中产生直流电流。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 可以使用电缆测试仪来检测网线中的直流电流。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 原因二:网卡损坏。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 网卡损坏有时会产生jabber数据帧(即超长数据帧),导致所处网段出现连接故障。可从协议分析仪捕获的jabber数据帧的源地址字段中找到失效网卡的位置。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] A.1.8 故障现象:网络连接出现间歇性故障的同时伴有帧间距过短现象[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 原因:帧间距过短引起数据包丢失。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 如果以太网中的站点不能维持正常的最小帧间距(10Mbit/s以太网中为9.6μs,100Mbit/s以太网中为0.96μs)的话,某些集线器设备就无法正确处理接收到的数据包。此时,数据包有可能会转变为jabber数据包。在进行故障检测时,可以用协议分析仪来测量帧间距(可由数据包的时间戳得到帧间距),之后,再从协议分析仪捕获的数据帧的源地址字段中找到失效网卡的位置。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] A.1.9 故障现象:经由网桥互连的传输路径上出现间歇性的网络连接故障[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 原因:由于网桥使用了负载均衡功能而打乱了数据包的到达次序。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 检查网桥的在必要时关闭网桥的负载均衡功能。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] A.1.10 故障现象:经由路由器互连的传输路径上出现间歇性的网络连接故障[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 原因:路由器连接在重载WAN链路或所连接的WAN链路质量较差。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 排除这类故障可以使用协议分析仪由器所连接的WAN链路的使用率,FCS差错率以及误码率,此外,分析路由器端口的日志也有助于我们找到故障原因。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] A.1.11 故障现象:单个节点与网络失去连接[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 原因一:MAU与网线或网卡与网络的连接松动或连接失效。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 单个节点突然与网络完全失去连接的主要原因如下:[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] l MAU连接松动;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] l 连接电缆断开、短路或有噪声干扰;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] l 网卡失效。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 此时需检查电缆、接头、网卡是否有问题,在必要时应予以替换。为了确定故障是否是节点本身,可以用一个工作正常的节点(如笔记本电脑)完全替换到有故障的节点,如果网络连接恢复正常的话,则表示故障源在节点内部,否则表示故障源在网络侧。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 原因二:网卡配置有误,如接头激活有误(如应激活AUI接头的却激活了双绞线接头)或选择的中断资源已被占用。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 此时可利用ping命令(ping 127.0.0.1)检查网卡的工作是否正常以及数据包能否被正确的发送和接收,此外,还应检查最近是否有人在网络中安装了软件或硬件。当然,也可以采用原因一中的方法,用一个工作正常的节点完全替换故障节点,以确定故障源在节点本身还是在网络侧。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 原因三:网卡损坏或保险丝被烧断。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 使用外接MAU时需要检查其电系统是否完好。使用ping命令(ping 127.0.0.1)来检查网卡的工作是否正常以及数据包能否被正确的发送和接收。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 原因四:不兼容的网卡把外接MAU发送的“心跳信号”当成是SQE信号,进而发生差错。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 此时,应监视MAU上的LED,如果每欠发送数据时SQE LED都点亮的话,则应关闭MAU的心跳模式(也就是把MAU的工作模式从Ethernet 2.0切换到IEEE802.3)。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 原因五:由于网桥工作于保护模式下而没有激活学习模式,因而其老化功能将有故障的节点地址从地址表中删除了。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 原因六:网桥或路由器的过滤器设置不正确。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 检查过滤器的设置情况并与故障节点的地址相比较,以确定是否因过滤器的设置不当而引起了节点的连接故障。特别是在网桥使用了备份路径或负载均衡机制之后,更应检查过滤器的设置是否与这些功能相冲突。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 原因七:MAC-IP地址映射有问题,这主要是由于静态IP地址发生了变化或网络中同时配置静态IP地址和DHCP.[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] A.1.12 故障现象:网络中的某个网段与其余网段之间失去了桥接连接[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[size=2][color=indigo][font=宋体][size=2][size=7] [/size]原因一:网桥的端口配置不正确(如端口没有被激活、端口的运行模式不正确(如应为10Mbit/s[font=宋体]的却配成100Mbit/s[font=宋体])、连接失效(如电缆、接头以及插板松动)或布线错误等)。[/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font] [font=宋体][font=宋体][size=2][color=indigo]检查网桥的安装和配置是否正确。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因二:由于网桥工作于保护模式下而没有激活学习模式,因而其老化功能将有故障的节点地址从地址表中删除了。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查网桥的地址表和工作模式(网桥的学习模式是否打开?)。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因三:网桥或路由器的过滤设置不正确。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查网桥或路由器的过滤器设置情况,特别是要检查使用了通配符的过滤项。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] A.1.13 故障现象:网络中的某个网段与其余网段之间失去了路由连接[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因一:路由器的端口配置不正确(端口没有被激活、端口的运行模式不正确(如10Mbit/s设成了100Mbit/s)、连接失效(如电缆、接头以及插板松动)、协议没有被激活或布线错误等)。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查路由器的安装和配置是否正确。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因二:路由器的地址表、映射表或路由表的配置有误。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查路由器的配置。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因三:路由器的过滤器设置有误。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查路由器的过滤器设置情况,特别是要检查使用了通配符以及有可能阻塞备份路由或负载分担路由的过滤项。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因四:与路由器WAN端口相连的WAN链路失效。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查WAN链路的工作是否正常。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因五:没有设置默认网关。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查路由器中是否配置了默认网关。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因六:子网掩码配置有误。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 全面检查网络文档中有关子网掩码的所有配置情况。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因七:定时器配置有误。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查路由器中不同协议的定时器参数配置是否正确,并与这些定时器的默认值相比较,特别是在网络中使用了不同厂商的路由器设备时尤为重要。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] A.1.14 故障现象:客户机出现间歇性的网络连接故障[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 客户机出现周期性的网络连接故障,虽然能ping通,但数据包时有丢失。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因一:NIC或交换机/路由器的配置有误。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] NIC或交换机/路由器的配置有误,致使连接双方工作在不同的工作模式下,此时应检查NIC以及交换机/路由器端口的配置是否正确。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因二:NIC或交换机/路由器的工作模式配置有误(一方被配置为手动工作模式,而另一方被配置为自动协商工作模式)。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查NIC以及交换机/路由器的端口配置情况,避免使用自动协商工作模式。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 原因三:主机忙或处于重载状态,服务器遇到问题。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 检查服务器的运行统计数据及其响应时间。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] A.1.15 故障现象:10/100BaseT自动协商进程太过频繁,吞吐量很低[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][size=10][size=2][color=indigo] 原因:通信双方未达成一致(一方为全双工方式,另一方为半双工方式)。[/color][/size][/size] [font=宋体][font=宋体][size=2][color=indigo]A.2 以太网中的常见差错[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 下面以字母顺序列出了以太网中最常见的故障原因:[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l AUI电缆损坏;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 网桥地址列表的配置不正确,网桥工作在保护模式下;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 网桥过滤器设置不当;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 网桥过载;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 网桥的老化功能删除了某些地址表项;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 级联的网桥或中继器太多,从而引发超时和响应时间过长;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 电缆长度超标;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 连接器松动或损坏:接咔、墙插、MAU、Hub、网桥、路由器;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 电磁干扰;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 外部MAU损坏;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 路由器、网桥或Hub的物理连接故障(电缆、连接器和插入模块松动;背板上的电缆连接错误);[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 接地时;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 帧间距过短;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 网络被多处接地;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l NIC配置不正确;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 网桥负载均衡功能引起的数据包失序;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 光组件(如光Hub端口)的功率时;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 路由器的过滤器设置不当;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 路由器配置不正确(端口未激活、协议未激活、运行模式不正确等);[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 路由器过滤;[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 路由协议属性项配置不正确(如地址表、映射表、子网掩码、默认网关、路由表和定时器);[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 路由协议的(OSPF Hello定时器、Dead定时器、IGRP Active定叶器的设置不正确);[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l 终端电阻损坏或丢失(10Base2、10Base5);[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] l WAN链路中断、过载或质量低劣(BER非常高)。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]- 作者: 挪威的森林 2006年03月30日, 星期四 08:36 回复(0) | 引用(0) 加入博采 [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] 串口通讯—串口通讯的概念及接口电路 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 随着计算机系统的应用和微机网络的发展,通信功能越来越显的重要。这里所说的通信是只计算机与外界的信息交换。因此,通信既包括计算机与外部设备之间,也包括计算机和计算机之间的信息交换。由于串行通信是在一根传输线上一位一位的传送信息,所用的传输线少,并且可以借助现成的电话网进行信息传送,因此,特别适合于远距离传输。对于那些与计算机相距不远的人-机交换设备和串行存储的外部设备如终端、打印机、逻辑分析仪、磁盘等,采用串行方式交换数据也很普遍。在实时控制和管理方面,采用多台微机处理机组成分级分布控制系统中,各CPU之间的通信一般都是串行方式。所以串行接口是微机应用系统常用的接口。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 许多外设和计算机按串行方式进行通信,这里所说的串行方式,是指外设与接口电路之间的信息传送方式,实际上,CPU与接口之间仍按并行方式工作。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 1 串行通信的概念[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 所谓“串行通信”是指外设和计算机间使用一根数据信号线(另外需要地线,可能还需要控制线),数据在一根数据信号线上一位一位地进行传输,每一位数据都占据一个固定的时间长度。如图1-1所示。这种通信方式使用的数据线少,在远距离通信中可以节约通信成本,当然,其传输速度比并行传输慢。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 由于CPU与接口之间按并行方式传输,接口与外设之间按串行方式传输,因此,在串行接口中,必须要有“接收移位寄存器”(串→并)和“发送移位寄存器”(并→串)。典型的串行接口的结构如1-2所示。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo] [/color][/size][/font][/font] [font=宋体][size=2][color=indigo]在数据输入过程中,数据1位1位地从外设进入接口的“接收移位寄存器”,当“接收移位寄存器”中已接收完1个字符的各位后,数据就从“接收移位寄存器”进入“数据输入寄存器”。CPU从“数据输入寄存器”中读取接收到的字符。(并行读取,即D7~D0同时被读至累加器中)。“接收移位寄存器”的移位速度由“接收时钟”确定。[/color][/color][/color][font=宋体][font=宋体][size=2][color=indigo] 在数据输出过程中,CPU把要输出的字符(并行地)送入“数据输出寄存器”,“数据输出寄存器”的内容传输到“发送移位寄存器”,然后由“发送移位寄存器”移位,把数据1位1位地送到外设。“发送移位寄存器”的移位速度由“发送时钟”确定。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 接口中的“控制寄存器”用来容纳CPU送给此接口的各种控制信息,这些控制信息决定接口的工作方式。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] “状态寄存器”的各位称为“状态位”,每一个状态位都可以用来指示数据传输过程中的状态或某种错误。例如,用状态寄存器的D5位为“1”表示“数据输出寄存器”空,用D0位表示“数据输入寄存器满”,用D2位表示“奇偶检验错”等。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 能够完成上述“串<- ->并”转换功能的电路,通常称为“通用异步收发器”(UART:Universal Asynchronous Receiver and Transmitter),典型的芯片有:Intel 8250/8251,16550。 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]启动报警声音全攻略 [/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]Award BIOS: [/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]1短:系统正常启动[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]2短:常规错误。解决方法:重设BIOS[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]1长1短:RAM或主板出错[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]1长2短:显示器或显示卡错误[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]1长3短:键盘控制器错误[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]1长9短:主板FLASH RAM 或EPROM错误,BIOS损坏[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]不停地响(长声):内存条未插紧或损坏[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]不听地响:电源、显示器未和显卡连接好[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]重复短响:电源有问题[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]无声音无显示:电源有问题[/color][/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[font=宋体][font=宋体][font=宋体][size=2][color=indigo]AWI BIOS:[/color][/color][/color]
[font=宋体][size=2][color=indigo][/color][/color][/color]
[font=宋体][size=2][color=indigo]1短:内存刷新失败。解决方法,更换内存条[/color][/color][/color]
[font=宋体][size=2][color=indigo]2短:内存ECC效验错误。解决方法:进入CMOS设置,将ECC效验关闭[/color][/color][/color]
[font=宋体][size=2][color=indigo]3短:系统基本内存(第一个64KB)检查失败[/color][/color][/color]
[font=宋体][size=2][color=indigo]4短:系统时钟出错[/color][/color][/color]
[font=宋体][size=2][color=indigo]5短:CPU错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]6短:键盘控制器错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]7短:系统实模式错误,不能切换到保护模式[/color][/color][/color]
[font=宋体][size=2][color=indigo]8短:显存错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]9短:ROM BIOS检验和错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1长3短:内存错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1长8短:显示测试错误[/color][/color][/color]
[font=宋体][size=2][color=indigo][/color][/color][/color]
[font=宋体][size=2][color=indigo]Phoenix BIOS[/color][/color][/color]
[font=宋体][size=2][color=indigo][/color][/color][/color]
[font=宋体][size=2][color=indigo]1短:系统启动正常[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短1短1短:系统加点自检初始化失败[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短1短2短:主板错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短1短3短:CMOS或电池错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短1短4短:ROM BIOS效验失败 [/color][/color][/color]
[font=宋体][size=2][color=indigo]1短2短1短:系统时钟错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短2短2短:DMA初始化失败[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短2短3短:DMA页寄存器错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短3短1短:RAM刷新错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短3短2短:基本内存错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短4短1短:基本内存地址线错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短4短2短:基本内存效验错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短4短3短:EISA时序器错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短4短4短:EASA NMI口错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]2短1短2短到2短4短4短(即所有开始为2短的声音的组合):基本内存错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]3短1短1短:从DMA寄存器错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]3短1短2短:主DMA寄存器错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]3短1短3短:主中断处理寄存器错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]3短1短4短:从中断处理寄存器错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]3短2短4短:键盘控制器错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]3短3短4短:显示卡内存错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]3短4短2短:显示错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]3短4短3短:未发现显示只读存储器[/color][/color][/color]
[font=宋体][size=2][color=indigo]4短2短1短:时钟错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]4短2短2短:关机错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]4短2短3短:A20门错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]4短2短4短:保护模式中断错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]4短3短1短:内存错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]4短3短3短:时钟2错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]4短3短4短:实时钟错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]4短4短1短:串行口错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]4短4短2短:并行口错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]4短4短3短:数字协处理器错误[/color][/color][/color]
[font=宋体][size=2][color=indigo][/color][/color][/color]
[font=宋体][size=2][color=indigo]兼容BIOS: [/color][/color]
[font=宋体][size=2][color=indigo][/color][/color][/color]
[font=宋体][size=2][color=indigo]1短:系统正常[/color][/color][/color]
[font=宋体][size=2][color=indigo]2短:系统加电自检(POST)失败[/color][/color][/color]
[font=宋体][size=2][color=indigo]1长:电源错误,如果无显示,则为显示卡错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1长1短:主板错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1长2短:显卡错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]1短1短1短:电源错误[/color][/color][/color]
[font=宋体][size=2][color=indigo]3长1短:键盘错误[/color][/color][/color]
[size=2][color=indigo][font=宋体][/font][font=宋体][/font][/font][/font]
[font=宋体][size=2][color=indigo]OPGW-光纤复合架空地线 [/color][/color]
[font=宋体][size=2][color=indigo]Optical-Fiber Composite Overhead Ground Wire (OPGW), 简称OPGW。[/color][/color][/color]
[font=宋体][size=2][color=indigo][/color][/color][/color]
[font=宋体][size=2][color=indigo]这种光缆的光纤被藏在架空线中,因此它既具有架空地线的功能,又具有通信光缆的功能,被广泛的应用与电力系统,市场前景极为广阔。 [/color][/color]
[font=宋体][size=2][color=indigo][/color][/color][/color]
[font=宋体][size=2][color=indigo]散热风扇常见故障及解决办法 [/color][/color][/color]
[size=2][color=indigo][size=2][font=宋体]随着微处理器内集成越来越多电路,以及不断增加的能耗,散热问题问题就不得不再次重提。针对电脑的散热系统多种多样,水冷、半导体制冷、油冷等。但我们最常使用的还是比较廉价的风冷,也就是散热风扇。在台式机里使用散热风扇的主要有两个设备,一个是电源一个是CPU[font=宋体]。电源风扇因设计问题一般寿命比较长,而CPU[font=宋体]散热风扇则是易耗品。[/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font] [font=宋体][font=宋体][size=2][color=indigo]本文就是针对CPU散热风扇常见故障,提出一些简易的解决办法。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo][/color][/color][/color][/color]
[color=indigo][font=宋体][font=宋体][/font][/font][font=宋体][font=宋体][size=2]常见故障一:一486微机CPU散热风扇,在近期使用中突然发出特别嘈杂的噪音。甚至比机箱电源的发出的声音还要大,经过仔细检查。原来由于年久失“修”,风扇表面以及散热器缝隙聚集了太多的灰尘。风扇的电机润滑油已经完全干涸,所以造成了马达般的轰鸣声。[/size][/font][/size][/font][/size][/font]
[font=宋体][font=宋体][color=indigo][/color][/color][/color]
[font=宋体][size=2][font=宋体][color=indigo] 解决办法:把风扇和散热器分离,散热器直接用自来水清洗即可。散热风扇先用软纸擦拭,缝隙之处可用医用小棉签擦。打开风扇背面的塑料贴纸,用普通缝纫机油滴入机芯1滴—2滴即可。也可以用玩具四驱车的膏状润滑脂,用量不宜过多。[/color][/color]
[font=宋体][font=宋体][color=indigo][/color][/color][/color]
[/color][font=宋体][size=2][font=宋体][color=indigo] 常见故障二:一Socket370散热风扇,前期使用正常。可近一段时间突然发现,风扇自动移动了固定位置。经查,原来固定散热器的扣具失效,由于风扇转动引起的共振现象,导致风扇位移。 [/color][/color]
[font=宋体][font=宋体][color=indigo][/color][/color][/color]
[/color][font=宋体][size=2][font=宋体][color=indigo] 解决办法:重新换上新的扣具。[/color][/color]
[font=宋体][font=宋体][color=indigo][/color][/color][/color]
[/color][font=宋体][size=2][font=宋体][color=indigo] 常见故障三:一新装Druon800电脑,风扇为Duron铝合金专用散热风扇。搬回家之后,让其不停机工作试机,当时未留人在场看管。数小时回来之后发现电脑黑屏,重新开机无效。打开机箱发现风扇停止转动,后经检查原来主板BIOS里的自动节能功能打开。系统长时间无响应,自动挂起,CPU风扇停转导致CPU温度过高而焚“尸”。[/color][/color]
[font=宋体][font=宋体][color=indigo][/color][/color][/color]
[/color][font=宋体][size=2][font=宋体][color=indigo] 解决办法:仔细查看BIOS设置说明,关闭Suspend模式。[/color][/color]
[font=宋体][font=宋体][color=indigo][/color][/color][/color]
[/color][font=宋体][size=2][font=宋体][color=indigo] 常见故障四:风扇转动时,有时候听见“哒哒”碰撞声,有时却无。打开机箱查看,原来机箱里密布杂乱的数据线和电源线,有时线头碰到了风扇的扇叶。结果导致了风扇转动时,发出了异常的声响。 解决办法:用橡皮筋,胶带纸等将机箱内散乱的数据线电源线捆扎好,避开从CPU散热风扇上方经过。[/color][/color]
[font=宋体][font=宋体][color=indigo][/color][/color][/color]
[/color][font=宋体][size=2][font=宋体][color=indigo] 常见故障五:一新CPU散热风扇,用了不到一星期就出现噪音过大,以及转动不畅等现象。风扇的转速刚开机时比较慢,并且噪音比较大,过一段时间就恢复到正常状态了。起初以为是风扇电机问题,更换同样的风扇之后使用一段时间依然出现上述现象。经过分析,原来散热风扇所处的室内温度偏低,造成转动轴承上的润滑油失效。[/color][/color]
[font=宋体][font=宋体][color=indigo][/color][/color][/color]
[/color][font=宋体][size=2][font=宋体][color=indigo] 解决办法:给风扇加注入防冻润滑油,并且注意使用环境的温度[/color][/color]
[color=indigo][font=宋体][font=宋体][/font][/font][font=宋体][font=宋体][/font][/font][/font]
[/font][font=宋体][size=2][font=宋体][color=indigo]小型局域网常见故障分析与排除 [/color][/color]
[/color][font=宋体][size=2][font=宋体][color=indigo] 小型局域网是大家最常见的网络,几乎任何人都可以架设自己的局域网。但网络虽小却也容易出这样或那样的问题。笔者希望你看了下文后,能抛砖引玉,解决你在网络中的问题。[/color][/color]
[/color][font=宋体][size=2][font=宋体][color=indigo]最常见的问题大致分以下几种:[/color][/color]
[font=宋体][font=宋体][color=indigo][/color][/color][/color]
[/color][font=宋体][size=2][font=宋体][color=indigo]一、网卡设置问题。[/color][/color]
[/color][font=宋体][size=2][font=宋体][color=indigo]在启动时登陆后网络马上提示:“网络适配器无法正常工作”,这是因为网络适配器(网卡)没有正确安装。在系统设备里发现网络适配器前有个黄色的叹号,就可证明网卡没有正确安装,并与系统中的其他设备在中断上有冲突,这时候就需要进行手工调整。常见的ISA接口NE2000及其兼容网卡出厂时默认的IRQ是3,I/O地址是300,建议使用这个中断和I/O地址。因为如果要改中断的话要用网卡附带的设置程序进行更改,实在是麻烦。根据以往的经验,与这类网卡冲突最多是设备是COM2,最好的解决方案是在COMS中将COM2 Disable掉。另外一些PCI网卡使用的中断是10,这和显卡的中断是冲突的。可在COMS中将“Assign IRQ For VGA”项设置为Disabled,不给显卡分配固定的中断。如果以上办法还不能凑效,那就只好运行网卡程序软盘中的设置程序,关闭网卡的PNP功能,设置IRQ中断号和I/O地址为系统未占用的地址,并在BIOS中将相应中断号由PCI/ISA改为Legacy ISA。[/color][/color]
[/color][font=宋体][size=2][font=宋体][color=indigo]这里要特别提示一下的是,某些ISA网卡,如上面提及的NE2000网卡,只有当I/O地址范围设置错了才会出现黄色的叹号。如果只是中断号错了,它在WIN98的系统设备状态中显示为正常。如果出现这种情况,在其他相关设置都正常的情况下,计算机始终连不上网络。这时候请注意查一下网卡的中断,方法是使用网卡的设置程序,查出它所用的实际中断号,然后再到系统资源中将相应的中断改过来。[/color][/color]
[color=indigo][font=宋体]另外,有可能的一种情况是WIN98[font=宋体]的伪报错,即设备本身的安装和设置没有错误,是WIN98[font=宋体]的错报。那么不用理会它的错误提示,因为设备是可以正常工作的。不过这种情况极其罕见,到目前笔者也只见到了一宗。[/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font][/font]
[[i] 本帖最后由 连长A 于 2006-9-5 12:38 编辑 [/i]] [font=宋体][font=宋体][size=2][color=indigo]假如上述所有的办法均无效,那么“恭喜”你,你可以换用新的网卡了。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]2.连不上网络,看不见其他电脑。[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]在“网上邻居”中只看到自己,说明网络适配器的安装是正确的。但接下去不能看到网络中其他机器,出现这种情况首先确认网络线是否插好,相关的网络设备HUB、交换机等是否均工作正常。笔者曾经遇到这样一种情况,有一台机器无论怎么折腾就是上不了网,正当无可奈何之际发现连接到交换机一端的网络线竟然是在地板上,这实在是令人哭笑不得。有此前车之鉴,在出现这类问题时你应先从简单的方面去考虑,除了确认网络线已经插好外,还要确认网络线工作是否正常,使用的是正线序还是反线序(CROSS-OVER电缆)。连接不同类设备使用的是正线序,如网卡——HUB/交换机;连接同类设备使用的是反线序,如HUB/交换机——HUB/交换机(有级连口的HUB/交换机另当别论)、网卡-网卡。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]如果一切正常,仍然连不上网络就要看是不是属于同一个工作组的计算机有重名的情况。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]如果两个条件都正常,就要看是不是协议的问题了。一般而言,我们的局域网使用TCP/IP协议(这是WINDOWS默认的网络通讯协议,只要你的网卡安装成功它就会自动加入)就足够了。首先用这样的命令ping 127.0.0.1来确认本地的TCP/IP配置正确。有人用这个ping命令来判断网卡是否有故障,但这是不正确的,因为ICMP被认为是IP层的一个组成部分,ping本地地址到IP层的时候就被短路了,并没有调用到网卡驱动程序,所以是无法判断网卡是否有故障的,也没有使用到更高层的协议(如TCP或UDP);实际上是如果ping命令返回正常的结果,仅仅说明本地的TCP/IP协议安装正确。有关使用ping 命令检测局域网故障的详细内容将在后文详细描述。ping 局域网中的另外一台主机,如果返回的结果正确,但仍然无法在网上邻居中看到它,表示对方计算机没有打开“文件和打印机共享”服务;当然,如果要让别人看到你,你也必须打开“文件和打印机共享”,否则别人看不到你。TCP/IP的所有设置均使用WINDOWS的默认值,这样在一个服务齐全(DNS,DHCP,WINS服务)的局域网中,就可以享受局域网带来的好处了。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]但在只有几台机器的对等网中,可能没有主机提供所需的服务,TCP/IP需要进行专门设置,要指定各台计算机的IP地址(图1),并使他们处于同一个网段,千万不要指定了两个同样的IP地址;指定各台计算机网关为局域网中的同一计算机(图2);指定DNS;绑定文件和打印机共享和Microsoft网络客户;其他设置保留WINDOWS的默认值。另外还要添加“Microsoft网络客户”和“Microsoft网络上的文件和打印机共享”。在对等网中应本着“宁多勿缺”的原则,对于其他协议也可以装上。常见的有:IPX/SPX 兼容协议、NetBEUI 网络协议;最后设置设置基本网络登陆方式为“Microsoft网络客户”。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]//图号:j-301,图标:图1[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]//图号:j-302,图标:图2[/color][/color][/color][/font]
[font=宋体][font=宋体][size=2][color=indigo]三、网络速度不正常,通常表现为以下几种情况:[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo](1)不能访问服务器或某项服务[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]要先测试一下这一故障是只影响一台工作站,还是影响其它全部站点,这可以通过其他工作站登录服务器或服务来证明这一点。如果这些有问题的工作站都出现在的同一网段或连接在相同的HUB上。那么就要分析这个HUB或网段,HUB是否正常工作,该网段的子网掩码是否正确,还要看服务器是否禁止该网段的工作站使用这项服务。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo](2)和服务器有关的问题[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo] 无论是网络流量高或低都有网络响应速度过慢的情况。有可能是服务器Cache设置得太小,保留的缓冲不足,服务器内存不够,服务器硬盘所余空间有限等等。另外也可能是另一类软件问题(通常是服务器端的ASP,CGI脚本或其他应用服务),他们可能造成不正常的“网络磁盘请求”导致服务器内存不足,这时有必要将停止某些不用的服务,或将某一部分服务分担到另一个服务器上,甚至干脆升级现有的服务器。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo](3)数据包错误[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]有时你的计算机会因为接收到的数据报导致出错数据或故障。虽然TCP/IP可以容许这些类型的错误,并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比,或者它的数目正迅速增加的话,那么你就应该使用Netstat查一查为什么会出现这些情况,从而解决它。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo](4)碰撞问题[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo]如果碰撞较多,要算一下有多少带宽被碰撞损失了。把本地和远端碰撞的损失都加起来,如果平均碰撞的值大于5-10%,就要进行进一步的故障查找。同样要检查一下碰撞是否是突发的,也就是说碰撞明显地增多不是因为流量明显增大引起的,如果是这样就意味着某处的物理层出现了比较严重的问题。如,不正确的端接(RJ-45连接头没有压紧),BNC阻抗不连续、残破线缆、坏网卡以及网络线和电源线在布线的时候并行在一起而引起的串绕。在碰撞与流量之间应是有一定的关系的。这种关系应当在做网络参照基准测试时收集到。如果碰撞始终是比较多的(但仍是可以接受),可能是太多站点同时在参与发送,这时候网络结构应做一些优化把近距离的站点分在一起。[/color][/color][/color]
[font=宋体][font=宋体][size=2][color=indigo](5)折半法查找网络错误[/color][/color][/color]
[font=宋体][size=10][size=2][color=indigo]如果使用的是同轴电缆电缆构架的总线型网,可以使用“折半法”(也叫二分法)来查找。使用终端匹配器将网络从中间分段开来,从网络是否正常工作来判断问题发生在前半部分还是后半部分。按照不断折半的方法最终找到出现问题的计算机或网络线路。利用该原理也适用于星型网络,你可把网络分成几部分,看问题出在哪部分,再把有问题的部分再划分,如此下去,就可查出问题所在。[/color][/size][/size] [font=宋体][font=宋体][color=indigo][size=2](6)利用率过高和过载网段[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2]如果利用率过高(平均值大于40%,瞬时峰值高于60%),那么网段负荷就过重了。应当考虑安装路由器以减少在网段中的流量或用交换机把网段分成若干小的网段。如果利用率很高(持续峰值超过60%)而碰撞又可以接受(平均碰撞小于10%),那么网络就饱和了。这时也应该增加网段或把网段分成较小的可以支持正常流量的网段。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2]另外还有一种很特别的情况,如果是高流量,低碰撞,而且有一点错误帧,就先确定发出错误帧的站点。也可以由繁忙站点测试来找出有问题的站点。你还可到该站点现场来查看该用户在做什么,因为极有可能是这个用户在试验某种黑客软件,导致网络性能的下降。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2]进行以上各类检查时,可以使用NetXray,Netboy或WINDOWS2000管理工具中的网络监视器这些软件。[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2]四、局域网中客户机无法上网[/size][/size][/size]
[font=宋体][font=宋体][color=indigo][size=2]首