lab 3 TCP-flood攻击分析.docVIP

实验四 TCP-flood攻击分析 【实验目的】 1. 掌握TCP协议的报文格式2. 掌握TCP连接的建立和释放过程3. 掌握TCP数据传输中编号与确认的过程4. 掌握TCP协议校验和的计算方法5. 理解TCP重传机制一. TCP报文格式 16位源端口号 16位目的端口号 32位序号 32位确认序号 4位首部长度 保留（6位） URG ACK PSH RST SYN FIN 16位窗口大小 16位校验和 16位紧急指针 选项 数据 二. TCP连接的建立????TCP是面向连接的协议。 在面向连接的环境中，开始传输数据之前，在两个终端之间必须先建立一个连接。对于一个要建立的连接，通信双方必须用彼此的初始化序列号seq和来自对方成功传输确认的应答号ack（指明希望收到的下一个八位组的编号）来同步，习惯上将同步信号写为SYN，应答信号写为ACK。 ???? 整个同步的过程称为三次握手，如图三. TCP连接的释放????对于一个已经建立的连接，TCP使用四次握手来结束通话（使用一个带有FIN附加标记的报文段）。 如图四. TCP重传机制???? TCP每发送一个报文段，就对这个报文段设置一次计时器。只要计时器设置的重传时间到期，但还没有收到确认，就要重传这一报文段。按照拓扑结构图连接网络，使用拓扑验证检查连接的正确性。练习一：察看TCP连接的建立和释放 主机B、C、D启动协议分析器进行数据捕获,并设置过滤条件（提取TCP协议）。 主机A启动仿真编辑器，进入TCP连接视图。在“服务器信息/IP地址”中填入主机C的IP地址；使用“端口扫描”获取主机C的TCP端口列表，在“服务器信息/端口”中填入主机C的一个TCP端口(大于1024)；点击“连接”按钮进行连接。 察看主机B、C、D捕获的数据，填写下表。 字段名称 报文1 报文2 报文3 Sequence Number ? ? ? Acknowledgement Number ? ? ? ACK ? ? ? SYN ? ? ? 主机A断开与主机C的TCP连接。 察看主机B、C、D捕获的数据，填写下表。 字段名称 报文4 报文5 报文6 报文7 Sequence Number ? ? ? ? Acknowledgement Number ? ? ? ? ACK ? ? ? ? SYN ? ? ? ? 结合步骤3、5所填的表，理解TCP的三次握手建立连接和四次握手的释放连接过程，理解序号、确认号等字段在TCP可靠连接中所起的作用。 练习二：利用仿真编辑器编辑并发送TCP数据包 本练习将主机A和B作为一组，主机C和D作为一组，主机E和F作为一组，现仅以主机A和B为例，说明实验步骤。 在本实验中由于TCP连接有超时时间的限制，故仿真编辑器和协议分析器的两位同学要默契配合，某些步骤（如计算TCP校验和）要求熟练、迅速。 通过手工编辑TCP数据包实验，要求理解实现TCP连接建立、数据传输以及断开连接的全过程。在编辑的过程中注意体会TCP首部中的序列号和标志位的作用。 ?? 首先选择服务器主机上的一个进程作服务器进程，并向该服务器进程发送一个建立连接请求报文对应答的确认报文和断开连接的报文也编辑发送。其步骤如下： 主机B启动协议分析器捕获数据，设置过滤条件（提取http协议）。 主机A上启动仿真编辑器，在界面初始状态下，程序会自动新建一个单帧，可以利用仿真编辑器打开时默认的以太网帧进行编辑。 填写该帧的以太网协议首部，其中：源MAC地址：主机A的MAC地址。目的MAC地址：服务器的MAC地址。协议类型或数据长度：0800（IP协议）。 填写IP协议头信息，其中： 高层协议类型：6（上层协议为TCP）。 总长度：40（IP首部+TCP首部）。 源IP地址：主机A的IP地址。 目的IP地址：服务器的IP地址(0)。 其它字段任意。 应用前面学到的知识计算IP首部校验和。 填写TCP协议信息，其中： 源端口：任意大于1024的数，不要使用下拉列表中的端口。 目的端口：80（HTTP协议）。 序列号：选择一个序号ISN（假设1942589885），以后的数据都按照这个来填。 确认号：0。 首部长度和标志位：5002（即长度20字节，标志SYN=1）。 窗口大小：任意。 紧急指针：0。 使用协议仿真编辑器的“手动计算”方法计算校验和；再使用协议仿真编辑器的“自动计算”方法计算校验和。将两次计算结果相比较，若结果不一致，则重新计算。 TCP在计算校验和时包括哪些内容？将设置完成的数据帧复制2份；修改第二帧的TCP 层的“首部长度和标志”位为5010（即标志位ACK=1