Identifier les scénarios réseau (2)

de réception, les performances peuvent en souffrir, parce que le système récepteur en attente de ces accusés de réception, devra parfois retarder l’envoi de paquets jusqu’à ce qu’il reçoive des ACK pour les paquets qu’il a déjà envoyés. Là encore, le délai de RTT perçu n’est pas le même quand on examine le RTT du côté distant ou du système local, de la même manière que les réceptions lentes sont toujours plus longues que les envois lents. Des RTT trop longs peuvent indiquer un problème de réseau ou un problème de performance sur le système qui envoie les accusés de réception. Pour les systèmes distants sur Internet, tenez compte du fait que les chemins sortants et de retour entre les systèmes peuvent traverser des routes différentes (routage asymétrique).

Réponses ART manquantes
Ce problème se manifeste quand des requêtes ARP sont envoyées mais pas reçues. Quand les deux systèmes sont sur le même LAN physique, cette situation indique un défaut de broadcast IP, du genre masque subnet inapproprié, câble défaillant ou commutateur Ethernet défectueux. Si les systèmes sont sur des réseaux différents, le problème est alors une défaillance de routage sur le premier tronçon : ce pourrait être une erreur de masque subnet ou une adresse de passerelle incorrecte.

Paquets en double
 Parfois un système reçoit des paquets qui contiennent le même numéro de séquence qu’un paquet déjà reçu (c’est-à-dire un paquet en double). Cela peut indiquer un problème de performance du système distant qui envoie les données, ou la présence de plus d’un système sur le réseau répondant aux requêtes à cause d’attributions d’adresses IP en double.

Réponses d’écho (ping) ICMP manquantes
 Les requêtes d’écho ICMP qui sont envoyées mais pas reçues peuvent indiquer un problème de réseau ou une perte de communication avec le système distant. (A noter que les pare-feu refusent souvent explicitement les réponses d’écho UC MP.)

Fragmentation MTU (négociation MSS)
Pendant l’établissement de la connexion TCP, un paquet SYN est envoyé à un autre système, et un paquet SYN ACK est reçu. Ces deux paquets contiennent la taille de segment maximale (MSS, Maximum Segment Size) que chaque système veut utiliser. La pile TCP/IP utilise la plus petite des deux valeurs pour déterminer le nombre maximum d’octets que l’on peut envoyer sur le réseau. Si le MSS est défini à moins de 1 492 K, augmentez la taille MTU (Maximum Transmission Unit) soit sur le système ayant la plus petite valeur, soit sur les deux systèmes pour améliorer la performance. Le problème pourrait aussi être dû à un réglage MTU inférieur sur une unité intervenante, comme un routeur sans fil ou câble-modem. En effet, ces unités ajoutent de l’overhead à chaque paquet et ont par conséquent un MTU maximum inférieur. Pour corriger cela, diminuez le MTU sur l’unité ou le pare-feu du côté de la connexion la plus proche de l’unité intervenante.

Fragmentation MTU (paquets fragmentés)
Les paquets avec des ID datagrammes en double reçus peuvent signifier qu’un routeur intermédiaire envoie des paquets fragmentés. Dans ce cas, songez à augmenter la taille de MTU sur votre routeur intermédiaire ou à améliorer la performance.

Hors séquence (Out of order)
 Quand un paquet reçu a un numéro de séquence inférieur aux derniers paquets reçus, peut-être que ce paquet a pris une route plus lente sur le réseau entre les deux systèmes. Ce n’est pas forcément grave car la plupart des clients TCP/IP ont suffisamment de tampon pour réassembler les paquets dans le bon ordre. Cependant, des paquets hors séquence trop fréquents peuvent nuire à la performance.

Reset (RST) inattendu
 La connexion TCP/IP est perdue chaque fois qu’un paquet RST est envoyé ou reçu. Un paquet RST est attendu à la fin d’une session TCP/IP mais pas au début ou au milieu d’une session. Quand un RST se produit pendant le handshake à trois voies initial, le problème est généralement celui d’une authentification défaillante (par exemple un ID et mot de passe utilisateur incorrects). Quand il survient au milieu d’une session, le service distant s’est peut-être soudainement arrêté ou a atteint un seuil de capacité (comme un disque se remplit pendant un transfert de fichiers). RST est également employé dans certaines attaques par déni de service où un intrus envoie des paquets RST imités pour tenter de fermer des sessions TC/IP existantes.

Retransmission
Quand un système distant n’accuse pas réception des paquets transmis le plus récemment, les paquets concernés sont retransmis. Cette anomalie peut indiquer que certains des paquets (ou des accusés de réception) ont été perdus ou ignorés par des routeurs intermédiaires.

Attaque SYN
Si un grand nombre de paquets SYN sont reçus, votre système est peut-être victime d’une attaque SYN.

Scan SYN
Même genre qu’une attaque SYN, mais dans ce cas les SYN sont reçus pour un certain nombre de ports différents. Ce scan SYN est signalé si le nombre de ports dépasse 20.