应用及传输层协议报文承载信息材料.doc

实验三 应用层、传输层协议报文承载信息分析 【实验目的】 熟悉协议分析工具软件使用，分析应用层及传输层报文承载的信息 【实验要求】 1、协议分析工具软件的使用，比如WireShark； 2、对SNMP及HTTP数据包进行分析，并验证两个高层协议的编码方法； 3、对基于HTTP协议的登录验证报文进行截取分析，提取并识别用户名密码；在分析利用浏览器进行登录验证的基础上，手动模拟基于HTTP协议的Web程序验证登陆过程； 4、截取基于UDP包，分析UDP协议信息（可如截获即时通讯QQ的数据报）； 5、对依赖Telnet应用程序建立的TCP连接中的TCP报文数据特点进行分析；（选作） 6、对大量的数据上传（比如基于HTTP或FTP的较大文件的上传）,通过协议分析观察是否有拥塞控制的表征。（选作） 【实验报告要求】 1. 实验报告须按实验成果提交 2. 实验名称按本指导书给出的实验名称填写 3. 实验报告写明实验日期、班级、姓名、学号 4．对SNMP及HTTP数据包进行分析，陈述两个高层协议的编码方法的不同，并把截图写入报告。 5．对截获即时通讯QQ的数据报依据UDP报头进行分析，并把截图写入报告。 【实验原理】 Ethereal协议分析系统介绍 ???Ethereal是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络 HYPERLINK 协议分析器，支持Linux和windows平台。Ethereal起初由Gerald Combs开发，随后由一个松散的Etheral团队组织进行维护开发。它目前所提供的强大的 HYPERLINK 协议分析功能完全可以媲美商业的网络分析系统，自从1998年发布最早的0.2版本至今，大量的志愿者为Ethereal添加新的 HYPERLINK 协议解析器，如今Ethereal已经支持五百多种 HYPERLINK 协议解析。很难想象如此多的人开发的代码可以很好的融入系统中；并且在系统中加入一个新的 HYPERLINK 协议解析器很简单，一个不了解系统的结构的新手也可以根据留出的接口进行自己的 HYPERLINK 协议开发。这都归功于Ehereal良好的设计结构。事实上由于网络上各种 HYPERLINK 协议种类繁多，各种新的 HYPERLINK 协议层出不穷。一个好的 HYPERLINK 协议分析器必需有很好的可扩展性和结构。这样才能适应网络发展的需要不断加入新的 HYPERLINK 协议解析器。1 Ethereal的捕包平台　　网络分析系统首先依赖于一套捕捉网络数据包的函数库。这套函数库工作在在网络分析系统模块的最底层。作用是从网卡取得数据包或者根据过滤规则取出数据包的子集，再转交给上层分析模块。从 HYPERLINK 协议上说，这套函数库将一个数据包从链路层接收，至少将其还原至传输层以上，以供上层分析。在Linux系统中， 1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包过滤器的一种的实现，BPF（BSD Packet Filter）。Libpcap是一个基于BPF的开放源码的捕包函数库。现有的大部分Linux捕包系统都是基于这套函数库或者是在它基础上做一些针对性的改进　　在window系统中，意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库，作者称之为NPF。由于NPF的主要思想就是来源于BPF，它的设计目标就是为windows　　系统提供一个功能强大的开发式数据包捕获平台，希望在Linux系统中的网络分析工具经过简单编译以后也可以移植到windows中，因此这两种捕包架构是非常现实的。就实现来说提供的函数调用接口也是一致的。　　Ethereal网络分析系统也需要一个底层的抓包平台，在Linux中是采用Libpcap函数库抓包，在windows系统中采用winpcap函数库抓包2层次化的数据包 HYPERLINK 协议分析方法　　取得捕包函数捕回的数据包后就需要进行 HYPERLINK 协议分析和 HYPERLINK 协议还原工作了。由于OSI的7层 HYPERLINK 协议模型， HYPERLINK 协议数据是从上到下封装后发送的。对于 HYPERLINK 协议分析需要从下至上进行。首先对网络层的 HYPERLINK 协议识别后进行组包还原然后脱去网络层 HYPERLINK 协议头。将里面的数据交给传输层分析，这样一直进行下去直到应用层? ? Ip? ? | \? Tcp udp? | ? \HTTP