实验二 网络网络数据包分析.pptVIP

实验二 网络数据包分析 * 实验内容： 使用sniffer pro抓取各种类型的数据包并进行简单分析； 熟悉常用的网络服务； 参数设置 启动虚拟机； 重新设置虚拟机的IP地址； 主机中启动网络抓包软件sniffer pro，并做相关设置（capture-define filter中1，address-IP，标注源主机、目的主机IP地址；2，选择advanced-IP-IP、ICMP，TCP-FTP、Telnet，UDP-DNS）； ①抓取IP数据报并分析 启动sniffer pro抓取数据包（capture-start）； 主机中Ping 虚拟机IP地址； Stop and display，decode对抓取的数据包进行分析； 结合IP数据报首部字段内容对抓取的数据包进行分析； 网络协议IP IP协议已经成为世界上最重要的网际协议。 IP的功能定义在由IP头结构的数据中。IP是网络层上的主要协议，同时被TCP协议和UDP协议使用。 TCP/IP的整个数据报在数据链路层的结构如表所示。 表 TCP/IP数据报的结构 IP头的结构 可以看出一条完整数据报由四部分组成 第三部分是该数据报采用的协议 第四部分是数据报传递的数据内容 其中IP头的结构如表所示。 IP头的结构 IP头结构在所有协议中都是固定的，对表说明如下： （1）字节和数字的存储顺序是从右到左，依次是从低位到高位，而网络存储顺序是从左到右，依次从低位到高位。 （2）版本：占第一个字节的高四位。头长度：占第一个字节的低四位。 （3）服务类型：前3位为优先字段权，现在已经被忽略。接着4位用来表示最小延迟、最大吞吐量、最高可靠性和最小费用。 （4）封包总长度：整个IP报的长度，单位为字节。 （5）存活时间：就是封包的生存时间。通常用通过的路由器的个数来衡量，比如初始值设置为32，则每通过一个路由器处理就会被减一，当这个值为0的时候就会丢掉这个包，并用ICMP消息通知源主机。 （6）协议：定义了数据的协议，分别为：TCP、UDP、ICMP和IGMP。定义为： ＃define PROTOCOL_TCP 0x06 ＃define PROTOCOL_UDP 0x11 ＃define PROTOCOL_ICMP 0x06 ＃define PROTOCOL_IGMP 0x06 （7）检验和：校验的首先将该字段设置为0，然后将IP头的每16位进行二进制取反求和，将结果保存在校验和字段。 （8）来源IP地址：将IP地址看作是32位数值则需要将网络字节顺序转化位主机字节顺序。转化的方法是：将每4个字节首尾互换，将2、3字节互换。 （9）目的IP地址：转换方法和来源IP地址一样。 在网络协议中，IP是面向非连接的，所谓的非连接就是传递数据的时候，不检测网络是否连通。所以是不可靠的数据报协议，IP协议主要负责在主机之间寻址和选择数据包路由。 抓取Ping指令发送的数据包 按照之前Sniffer的设置抓取Ping指令发送的数据包，命令执行如图所示。 抓取Ping指令发送的数据包 抓取Ping指令发送的数据包 其实IP报头的所有属性都在报头中显示出来，可以看出实际抓取的数据报和理论上的数据报一致，分析如图所示。 ②抓取一次完整的FTP会话并分析 使用sniffer pro可以抓取TCP数据报，FTP服务就是通过TCP协议进行传输的。 首先开启目标主机（虚拟机）的FTP服务。（开始-程序-管理工具-Internet服务管理器-启动FTP服务） 启动主机中sniffer，然后在主机DOS命令行下使用FTP指令连接目标主机上的FTP服务器。（ftp 目标主机IP地址）并输入用户名及其密码默认都是ftp；退出对方FTP命令是bye； 停止sniffer，并查看并分析抓取的FTP会话过程。 传输控制协议协议TCP TCP是传输层协议，提供可靠的应用数据传输。 TCP在两个或多个主机之间建立面向连接的通信。 TCP支持多数据流操作，提供错误控制，甚至完成对乱序到达的报文进行重新排序。 TCP协议的头结构 和IP一样，TCP的功能受限于其头中携带的信息。因此理解TCP的机制和功能需要了解TCP头中的内容，表显示了TCP头结构。 TCP协议的头结构 TCP协议的头结构都是固定的，对上表说明如下： （1）TCP源端口（Source Port）：16位的源端口包含初始化通信的端口号。源端口和IP地址的作用是标识报文的返回地址。 （2）TCP目的端口（Destination Port）：16位的目的端口域定义传输的目的。这个端口指明报文接收计算机上的应用程序地址接口。 （3）序列号（Sequence Number）：TCP连线发送方向接收方的封包顺序号。 （4）确认序号（Acknowle