TCP/IP bağlantısı sorunlarını giderme

  • Makale

Sanal Aracımızı deneyin - Yaygın Active Directory çoğaltma sorunlarını hızla belirlemenize ve çözmenize yardımcı olabilir.

Şunlar için geçerlidir: Windows 10

Uygulama sonunda bağlantı hatalarıyla veya zaman aşımı hatalarıyla karşılaşabilirsiniz. En yaygın senaryolar şunlardır:

  • Veritabanı sunucusuna uygulama bağlantısı
  • SQL zaman aşımı hataları
  • BizTalk uygulaması zaman aşımı hataları
  • Uzak Masaüstü Protokolü (RDP) hataları
  • Dosya paylaşımı erişim hataları
  • Genel bağlantı

Sorunun ağda olduğundan şüphelendiğinizde bir ağ izlemesi toplarsınız. Daha sonra ağ izlemesi filtrelenecek. Bağlantı hatalarını giderme sırasında ağ sorununa işaret edebilecek bir ağ yakalamada TCP sıfırlaması ile karşılaşabilirsiniz.

  • TCP, bağlantı odaklı ve güvenilir protokol olarak tanımlanır. TCP'nin güvenilirliği sağlama yollarından biri el sıkışma işlemidir. TCP oturumu oluşturma işlemi üç yönlü el sıkışması ve ardından veri aktarımı ve ardından dört yönlü kapatma ile başlar. Hem gönderenin hem de alıcının oturumu kapatmayı kabul ettiği dört yönlü kapanış, düzgün bir kapanış olarak adlandırılır. Dört yönlü kapatma işleminden sonra, sunucu 4 dakika süreye izin verir (varsayılan), ağdaki bekleyen paketlerin işlenmesi için bu süre TIME_WAIT durumudur. TIME_WAIT durumu tamamlandıktan sonra, bu bağlantı için ayrılan tüm kaynaklar serbest bırakılır.
  • TCP sıfırlama, oturumun ani bir şekilde kapatılmasıdır; bağlantıya ayrılan kaynakların hemen serbest bırakılmasına ve bağlantıyla ilgili diğer tüm bilgilerin silinmesine neden olur.
  • TCP sıfırlama, TCP üst bilgisindeki RESET bayrağı tarafından 1 olarak ayarlanır.

Kaynak ve hedef üzerindeki bir ağ izlemesi, trafiğin akışını belirlemenize ve hatanın hangi noktada gözlemlendiğine bakmanıza yardımcı olur.

Aşağıdaki bölümlerde RESET göreceğiniz bazı senaryolar açıklanmaktadır.

Paket bırakma

Bir TCP eş, diğer ucundan yanıt alınmayan TCP paketleri gönderirken, TCP eşleri verileri yeniden iletirken ve yanıt alınmadığında ACK RESET göndererek oturumu sonlandırır (bu ACK RESET, uygulamanın şimdiye kadar alınan verileri kabul ettiği anlamına gelir, ancak paket bırakma nedeniyle bağlantı kapatılır).

Kaynak ve hedef üzerindeki eşzamanlı ağ izlemeleri, kaynak tarafında paketlerin yeniden aktarıldığını ve hedefte bu paketlerin hiçbirinin görülmediğini gördüğünüz bu davranışı doğrulamanıza yardımcı olur. Bu senaryoda, kaynak ve hedef arasındaki ağ cihazının paketleri bıraktığı belirtilir.

Paket bırakma nedeniyle ilk TCP el sıkışması başarısız oluyorsa TCP SYN paketinin yalnızca üç kez yeniden iletildiğini görürsünüz.

445 numaralı bağlantı noktasında kaynak tarafı bağlantısı:

Ağ İzleyicisi'ndeki çerçeve özetinin ekran görüntüsü.

Hedef tarafı: Aynı filtreyi uyguladığınızda hiçbir paket görmezsiniz.

Ağ İzleyicisi'nde filtre içeren çerçeve özetinin ekran görüntüsü.

Verilerin geri kalanı için TCP paketleri beş kez yeniden gönderir.

Kaynak 192.168.1.62 yan izleme:

Paket tarafı izlemeyi gösteren ekran görüntüsü.

Hedef 192.168.1.2 yan izleme:

Yukarıdaki paketlerden hiçbirini görmezsiniz. Ağ ekibinizin farklı atlamalarla araştırmasını Engage ve bunlardan herhangi birinin ağda düşüşe neden olup olmadığını denetleyin.

SYN paketlerinin hedefe ulaştığını ancak hedefin hala yanıt vermediğini görüyorsanız bağlanmaya çalıştığınız bağlantı noktasının dinleme durumunda olup olmadığını doğrulayın. (Netstat çıkışı yardımcı olacaktır). Bağlantı noktası dinliyorsa ve hala yanıt yoksa bir wfp düşüşü olabilir.

TCP üst bilgisinde yanlış parametre

Paketler ağda orta cihazlar tarafından değiştirildiğinde ve alıcı uçtaki TCP, değiştirilen sıra numarası veya sıra numarasını değiştirerek orta cihaz tarafından yeniden oynatılan paketler gibi paketi kabul edemediğinde bu davranışı görürsünüz. Yine, kaynak ve hedef üzerindeki eşzamanlı ağ izlemesi, TCP üst bilgilerinden herhangi birinin değiştirilip değiştirilmediğini size söyleyebilir. Kaynak izleme ve hedef izlemeyi karşılaştırarak başlayın; paketlerin kendisinde bir değişiklik olup olmadığını veya kaynak adına hedefe yeni paketlerin ulaşıp ulaşmadığı fark edebilirsiniz.

Bu durumda, paketleri değiştiren veya paketleri hedefe yeniden yürüten tüm cihazları belirlemek için ağ ekibinden yardım almanız gerekir. En yaygın olanları RiverBed cihazları veya WAN hızlandırıcılarıdır.

Uygulama tarafı sıfırlama

Sıfırlamaların yeniden iletimlerden veya yanlış parametreden veya paketlerin ağ izleme yardımıyla değiştirilmesinden kaynaklanmadığını belirledikten sonra uygulama düzeyi sıfırlamaya daraltmış olursunuz.

Uygulama sıfırlamaları, sıfırlama bayrağıyla birlikte Onay bayrağının 1 olarak ayarlandığını gördüğünüz yerdir. Bu ayar, sunucunun paketin alındığını kabul ettiğini ancak herhangi bir nedenle bağlantıyı kabul etmeyeceğini gösterir. Bu aşama, paketi alan uygulamanın aldığı bir şeyi beğenmemiş olmasıdır.

Aşağıdaki ekran görüntülerinde, kaynakta ve hedefte görülen paketlerin herhangi bir değişiklik veya bırakma olmadan aynı olduğunu görürsünüz, ancak hedef tarafından kaynağa gönderilen açık bir sıfırlama görürsünüz.

Kaynak Tarafı

Ağ İzleyicisi'nde kaynak tarafındaki paketlerin ekran görüntüsü.

Hedef tarafı izlemesinde

Ağ İzleyicisi'nde hedef taraftaki paketlerin ekran görüntüsü.

AYRıCA, TCP kuruluş paketi SYN gönderildiğinde bir durumda bir ACK+RST bayrak paketi görürsünüz. İstemci belirli bir bağlantı noktasına bağlanmak istediğinde TCP SYN paketi gönderilir, ancak hedef/sunucu herhangi bir nedenle paketi kabul etmek istemezse bir ACK+RST paketi gönderir.

ACK RSK bayrağına sahip paketin ekran görüntüsü.

Sıfırlamaya neden olan uygulama (bağlantı noktası numaralarıyla tanımlanır) bağlantıyı sıfırlamasına neyin neden olduğunu anlamak için araştırılmalıdır.

Not

Yukarıdaki bilgiler UDP'den değil TCP açısından sıfırlamalar hakkındadır. UDP bağlantısız bir protokoldür ve paketler güvenilir bir şekilde gönderilir. UDP'i aktarım protokolü olarak kullanırken yeniden iletim veya sıfırlama görmezsiniz. Ancak UDP, hata raporlama protokolü olarak ICMP kullanır. Bir bağlantı noktasına gönderilen UDP paketiniz varsa ve hedefte bağlantı noktası listelenmediğinde, udp paketinden hemen sonra ICMP Hedef konağına ulaşılamıyor: Bağlantı noktası ulaşılamıyor iletisini gönderirken görürsünüz.

10.10.10.1  10.10.10.2  UDP UDP:SrcPort=49875,DstPort=3343
 
10.10.10.2  10.10.10.1  ICMP    ICMP:Destination Unreachable Message, Port Unreachable,10.10.10.2:3343

Bağlantı sorunlarını giderme sırasında, ağ izlemesinde makinenin paketleri aldığını ancak yanıt vermediğini de görebilirsiniz. Bu gibi durumlarda, sunucu düzeyinde bir düşüş olabilir. Yerel güvenlik duvarının paketi bırakıp bırakmadığını anlamak için makinede güvenlik duvarı denetimini etkinleştirin.

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable

Ardından Güvenlik olay günlüklerini gözden geçirerek belirli bir bağlantı noktası IP'sinde paket bırakma ve onunla ilişkilendirilmiş bir filtre kimliği görebilirsiniz.

Filtre kimliğine sahip Olay Özellikleri'nin ekran görüntüsü.

Şimdi komutunu netsh wfp show stateçalıştırın, bu yürütme birwfpstate.xml dosyası oluşturur. Bu dosyayı açıp yukarıdaki olayda (2944008) bulduğunuz kimliği filtreledikten sonra, bağlantıyı engelleyen bu kimlikle ilişkilendirilmiş bir güvenlik duvarı kuralı adı görebilirsiniz.

Bağlantıyı engelleyen filtre kimliğiyle ilişkili güvenlik duvarı kuralı adını içeren wfpstate xml dosyasının ekran görüntüsü.