网络工程实验7网络协议分析实例.pptVIP

Ethereal协议分析实例 ARP协议分析 ARP协议 ARP协议是“Address Resolution Protocol” 的缩写。在局域网中，网络中实际传输的是帧，帧里面是有目标主机的MAC地址的。 在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。 所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 影响试验的因素 ARP缓存 在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址一一对应 。 查看arp缓存：arp -a 清除arp缓存：arp -d 试验过程 定义过滤器 清除arp缓存 开始抓包 利用ping命令，迫使主机发出arp请求。 停止抓包，进行数据分析。 IP协议分析 IP是TCP/IP协议集的核心之一，它提供了无连接的数据包传输和互联网的路由服务。IP的基本任务是通过互联网传输数据包，每个IP数据包是独立传输的。 主机上的IP层基于数据链路层向传输层提供传输服务，IP从源传输层实体获得数据，再通过物理网络传送到目的机器的IP层。 试验过程 定义过滤器 开始抓包 停止抓包，数据分析 ICMP协议分析 ICMP是“Internet Control Message Protocol”（Internet控制消息协议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。 ICMP协议是IP协议的一部分，ICMP报文必须要包含在IP协议数据包中发送出去。比如我们经常使用的用于检查网络通不通的Ping命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。 ICMP协议-Ping命令分析 Ping原理 PING是最常用的网络命令，用来判断目标是否活动。实际上Ping是向目标发送一个要求回显（ICMP ECHO， Type=8）的ICMP数据报，当主机得到请求后，再返回一个回显（ICMP，ECHO Reply，Type = 0）的ICMP报文。如果 (ICMPtype0)数据包被发送方接受到，说明主机是存活状态。 试验过程 定义过滤器 开始抓包 使用Ping命令 停止抓包，进行数据分析 在命令行中输入如下命令“ping 54”，该命令会从主机2向54发送四个ICMP的请求回显类型的报文，效果如下： 思考题： 查找Tracert命令的实现原理，并设计相关实验进行验证。 TCP协议分析 TCP协议是传输控制协议(Transport Control Protocol)的简称，是一种端对端、面向连接的，可靠的传输层协议，位于OSI参考模型的第四层－传输层。该协议在IP层之上，提供可靠的虚电路服务和面向数据包的传输服务，用户数据可以被有序而可靠的传输，在IP分组发生丢失、破坏，重复、延迟或者失序的情况下，TCP服务通过一种可靠的进程间通信机制能够自动纠正各种错误。 三次握手机制 TCP端口 TCP提供一种叫做“端口”的用户接口。通过TCP端口和IP地址的配合使用，可以提供到达终端的通讯手段。实际上，在任一时刻的互联网络连接可以由4个数字进行描述： 来源IP地址和来源端口，目的IP地址和目的端口。位于不同系统平台，用来提供服务的一端通过标准的端口提供相应服务。举例来说，标准的TELNET守护进程(telnet daemon)通过监听TCP 23端口，准备接收用户端的连接请求。 TCP标志（1） SYN：同步标志同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号，该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。 ACK：确认标志确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1，Figure-1)为下一个预期的序列编号，同时提示远端系统已经成功接收所有数据。 RST：复位标志复位标志有效。用于复位相应的TCP连接。 TCP标志（2） URG：紧急标志紧急(The urgent pointer) 标志有效。 PSH：推标志该标志置位时，接收端不将该数据进行队列处理，而是尽可能快将数据转由应用处理。在处理 telnet 或 rlogin 等交互模式的连接时，该标志总是置位的