A-A+

抓包出现的Destination Host Unreachable和Port Unreachable的区别

2015年08月27日 网管技术 暂无评论 阅读 6,719 views 次

平常我们网管用wireshark等工具抓包时,经常发现网络中会出现大量的Destination Host Unreachable或Destination Port Unreachable,一般都出现在ICMP协议方面,大家都知道ICMP协议其实跟ping有关的,可当我们ping这些有问题的机器时还是ping的通的,下面给大家讲一个实际案例:

某企业局域网采用的内外网双网隔离措施,这种模式很多国企和政府都在用,内外网之间采用物理隔离网闸进行安全隔离,企业内网是无法访问internet的,这时问题就出现了,我们目前的内网终端上很多时候都安装了一下网络通过软件,如360安全卫士、百度浏览器、金山毒霸等软件,这些软件没事在后台会发送大量的外网网址访问请求的,其中风暴影音这样的软件就更加过分,发送的频率极高,这样就会对企业内网DNS服务器造成巨大的压力,因为内网根本上不了公网,DNS也就无法正常的去解析。

下面还是说说症状,当我们用wireshark抓包的时候会发现大量的与dns服务器相关的Destination Port Unreachable数据包,相关协议是ICMP,dns服务器出什么问题了?

首先我们先来研究一下常见的ICMP报错,包括Destination Host Unreachable和Destination Port Unreachable,两者的区别,Destination Host Unreachable是真的ping主机不可达,而Destination Port Unreachable是端口不可达,具体分析了一下该类数据包,我们发现都是与DNS服务器53端口相关的,因此我们做出一个判断,dns服务器处理能力异常,就是说客户端想企业内网DNS发起的解析请求,dns服务器接收后返回的目标端口不可达的错误信息,最大的可能是企业dns服务器压力过大,已经处理不了这么多的请求了。

通过这个案例,我们可以看出Destination Port Unreachable的错误可以说明企业内网中有大量的垃圾域名解析请求,对企业网络和DNS服务器都是不利的,如何解决?度娘搜搜给大家两个建议方案:

方案一,在企业内网尽量控制不必要的软件安装,这是企业网管应当考虑的问题。

方案二,在企业内网DNS服务器上做文章,我们可以采购一些专业级的dns服务器设备,或者叫cns核心网络服务设备,这些产品并不是我们平时用的服务器上安装windows server开启的DNS,它们有办法过滤和解决掉这些垃圾信息。

Copyright © 度娘搜搜 保留所有权利.   鲁ICP备15005183号-1

用户登录

分享到: