实验5_分析IP据报格式.doc

实验5 分析IP数据报格式 5.1 实验目的 了解IP数据报的格式； 理解IP 各个数据项的涵义； 5.2 相关背景知识 1. Winpcap基本介绍 数据报捕获的原理：为了进行数据报,网卡必须被设置为混杂模式。在现实的网络环境中,存在着许多共享式的以太网络。这些以太网是通过Hub 连接起来的总线网络。在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之间交换的报文全部会通过Hub 进行转发,而Hub以广播的方式进行转发,网络中所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机器简单的将报文丢弃。目的机器是指自身MAC 地址与消息中指定的目的MAC 地址相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文,对它们进行全面的分析,这样就可以得到整个网络中信息的现状。 Tcpdump的简单介绍：Tcpdump是Unix平台下的捕获数据报的一个架构。Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的Craig Leres、Van Jcaobson和Steve McCanne共同开发完成，它可以收集网上的IP数据报文，并用来分析网络可能存在的问题。现在，Tcpdump已被移植到几乎所有的UNIX系统上，如：HP-UX、SCO UNIX、SGI Irix、SunOS、Mach、Linux和FreeBSD等等。更为重要的是Tcpdump是一个公开源代码和输出文件格式的软件，我们可以在Tcpdunp的基础上进行改进，加入辅助分析的功能，增强其网络分析能力。（详细信息可以参看相关的资料）。 Winpcap的简单介绍：Winpcap是由意大利Fulvio Risso和Loris Degioanni等人提出并实现的应用于Win32平台的数据报捕获与分析的一种软件包，包括内核级的数据报监听设备驱动程序、低级动态链接库(Packet.dll) 和高级系统无关库(Winpcap.dll)。 Winpcap 由3个模块组成：（1）NPF（NetgroupPacket Filter），是一个虚拟设备驱动程序文件。它的功能是过滤数据报，并把这些数据报原封不动地传给用户态模块。（2）Packet.dll为Win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll直接映射了内核的调用，运行在用户层，把应用程序和数据报监听设备驱动程序隔离开，使应用程序可以不加修改地在不同的Windows系统上运行。通过Packet.dll提供的能用来直接访问BPF驱动程序的包驱动API利用raw模式发送和接收包。（3）Wpcap.dll是不依赖于操作系统的。Wpcap.dll 和应用程序链接在一起，使用低级动态链接库提供的服务，向应用程序提供完善的监听接口和更加友好、功能更加强大的函数调用。 Winpcap（Windows packet capture）是Windows平台下一个免费、公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。它提供了以下的各项功能： （1）捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报； （2）在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉； （3）在网络上发送原始的数据报； （4）收集网络通信过程中的统计信息。 （详细信息可以参看相关的资料） 2. IP数据报的格式 IP数据报的由首部和数据两部分组成。首部的前一部分是固定长度，共20个字节，是所有IP数据报必须具有的。在首部的固定部分的后面是一些可选字段，其长度是可变的。下图是IP数据报的格式： 0 4 8 16 19 24 31 版本 首部长度 服务类型 总长度 标识 标志 片偏移 生存时间 协议 首部校验和 源地址 目的地址 可选字段（长度可变） 填充 数据部分 图5-1 IP数据报的格式 3. TCP报文段的格式 一个TCP报文段分为首部和数据两部分，TCP的全部功能都体现在首部中各个字段的作用。基于这一点，能清楚了TCP首部各个字段的作用也就掌握了TCP的工作原理。TCP报文首部的前20个字节是固定的，后面有4N字节是根据需要而增加的选项（N必须是整数），因此TCP首部的最小长度是20字节。图5-2是TCP数据报文首部的格式。 0 8 16 24 31 源