利用数据包大小分析网络故障

利用数据包大小分析网络故障

当前网络中日益盛行的碎片攻击和超长数据包攻击，使网络中流通的数据包越来越受到网络管理人员的重视。在以太网中，数据包的长度在64～1518字节之间，多数是几百字节。所以，如果网络中出现过多小于等于64字节或大于等于1518字节的数据包，表示网络可能遭受攻击，网络管理人员应立即对网络进行检测分析，以确保网络的安全。

在以太网中，如果数据包小于64字节，称为碎片；大于1518字节，称为特大数据包。而碎片和特大数据包都是非正常的以太网数据包，它们将影响网络的正常运行，如过多的碎片将增加网络的负载，过多特大数据包导致网络瘫痪等。为避免网络遭受碎片或特大数据包的攻击，网络管理人员应该对网络中传输的数据包进行检查，以确定它们的合法性。 具体分析实例

我们使用科来网络分析系统5.0对网络中传输的数据包进行检查。图1所示的是系统捕获到的当前网络内传输的数据包信息。

（图1 在科来网络分析系统5.0查看数据包分布情况）

查看图1中的数据包大小分布和最常见数据包大小中的内容，可以知道当前网络中传输最多的是64字节和1518字节的数据包，其中64字节的数据包有30446个，占总数据包的73.903%，1518字节的数据包有10000个，占总数据包的24.274%。两种数据包占了网络中传输数据包的大部分，这说明网络的当前通讯可能存在故障。

单击数据包视图，发现存在较多192.168.10.66和192.168.0.208之间的数据通讯，且其大小是64字节或1518字节，如图2所示，于是基本确定这两台主机可能是故障的根源。

（图2 在科来网络分析系统5.0查看数据包列表）

再单击端点视图，选择IP类型，并按总流量进行排序，如图3所示。详细查看图3，发现192.168.10.66和192.168.0.208两台主机的流量占用较大，分别占总流量的98.865%和98.860%，这说明网络中的流量大多都是被这两台主机相互传送数据所占用。

（图3 在科来网络分析系统5.0查看流量占用）

通过以上的分析，我们可以知道192.168.10.66和2192.168.0.208是网络故障的根源，于是首先将这两台主机断网，接着使用科来网络分析系统5.0再次捕获数据通讯，发现网络中的不同大小数据包的分布较为合理，128～1024之间的数据包占用较多，属于正常的通讯。检查192.168.10.66和192.168.0.208主机，发现该主机上正运行一个自动发包的程序，这些发送的数据包被科来网络分析系统5.0所捕获，于是便出现了上述的情况，停止并删除该程序后将其再次接入网络，网络通讯情况仍然正常，至此，网络检测及故障成功解决。

网络中传输数据包的大小，将直接反映网络的通讯状态并影响网络的通讯质量，所以网络管理人员应经常地对网络中传输的数据包进行检查，以避免出现该类故障。 注意：

有些网络检测分析软件（如Sniffer Pro）没有在数据包结尾处添加长4字节的FCS（帧校验序列）字段，这种情况下以太网数据包的大小是60～1514字节。

本文来源：https://www.bwwdw.com/article/o4c5.html