FLUKE OptiView PE协议分析仪专家软件对服务器连通性故障进行诊断的实战案例
2009-10-22    网络测试产品经理   
打印自: 安恒公司
地址: HTTP://honeypot.anheng.com.cn/news/article.php?articleid=1592
FLUKE OptiView PE协议分析仪专家软件对服务器连通性故障进行诊断的实战案例

当使用OptiView PE协议分析软件对服务器的连通性问题进行故障诊断时,很重要的一点是要清楚数据传输的双方。客户端正向服务器发送什么?服务器正向客户端发送什么。当您了解连接的双方时,就可以更轻易地查找到问题。

OPV PE

我们不妨拿安恒公司最近碰到的一个问题作为例子,一个客户试图连接到一台FTP服务器,该客户可以建立连接并看到登录屏幕,但在输入登录信息后,客户端被告之文件列表错误。同一局域网上一个相邻站点却可以登录到FTP服务器上并下载文件。在其它远程网络上的用户也可以连接到这台FTP服务器上并下载文件。这就表明这台FTP服务器至少是可以访问的而且功能正常(否则用户就不能接收到登录屏幕),两个网络之间的路由是正常工作的(因为邻近的站点可以下载文件)。问题可能出在客户端上。

服务器已经安装了OPV-PE协议分析专家软件,所以我们启动了捕捉功能并要求出现问题的用户再次登录。 在用户得到错误提示后,我们停止了捕捉并开始分析协议跟踪文件。

跟踪文件已经被过滤为客户端和FTP服务器IP地址之间的对话。

首先,在0-2帧客户端与服务器建立了TCP标准握手,这就确立了在端口21上的FTP帧可以到达服务器,且服务器可以认可该通讯。

帧4显示服务器开始FTP进程,它通知客户端所连接的FTP服务器类型。接下来的几个帧是登录认证信息和密码互换。一切看起来都很正常,直到我们查看第19帧。客户端通知服务器它要在被动FTP模式下进行操作。FTP在端口21上不传输实际数据,这是一个用于交换密码和控制信息的控制端口——我们可以从协议文件中查看到。正常的主动FTP传输,服务器使用端口20来将文件“推”到用户所使用的端口。在某种意义上,客户端成为了服务器并接收“推”过来的文件。


图1


 
  在被动FTP模式下,客户端要求保持客户模式并要求服务器发送给它一个安全的数据端口以要求文件传输。在这种方式下,客户端开始初始化与服务器的双方连接,保证客户端更大的安全性。防火墙不需要为FTP服务器开放来连接到客户端,主动模式也是一样。 

图2

我们可以不再假设服务器在使用端口20进行数据传输。它通知客户端在端口21控制帧中它将使用哪个端口。在我们的例子中,帧20显示出发送给客户端进行连接的IP和端口号。

服务器通知它可以通过IP地址1.1.232.65被联络,之后是数字4和234。为了发现端口号,我们需要将第一个数字乘以256再加上第二个数字,即 (256*4)+234=1258。该IP和这对端口存在几个问题。首先,FTP服务器的地址不是1.1.232.65而是1.1.232.87。其次,防火墙仅被配置为答应在端口20和21到FTP服务器的流量。它没有被配置为支持被动FTP模式。这种模式由于它的安全性已经变得越来越普遍。可以通过IE配置为被动FTP模式,具体方法是使用“工具 Internet选项 高级”标签页进行设置。
图3



凡是Windows XP SP2的用户,用户端安全性更高。

在这种情况下,FTP服务器在被动模式下被配置了错误的地址。服务器中的这一变量没有正确设置。在这一问题修复后,防火墙被打开支持1200以上的FTP通讯端口,客户可以正常访问文件。

毫无疑问它可以将流量发送回服务器,但它的目的地址是1.1.232.65,它是网关的地址。这是使用OPV-PE协议分析专家软件很轻易就解决的故障实例。

 

责任编辑: 网络测试产品经理