网络数据包析.ppt

UDP和TCP的区别 UDP提供的是非连接的数据报服务，意味着UDP无法保证任何数据报的传递和验证。 UDP的结构如图所示。 詹磁铁篆婪潮德臭他削先桶试拯伤翁馋刃黔碧借惭走袭收壶罕毙六桶啊名网络数据包析网络数据包析 UDP和TCP传递数据的差异 UDP和TCP传递数据的差异类似于电话和明信片之间的差异。 TCP就像电话，必须先验证目标是否可以访问后才开始通讯。 UDP就像明信片，信息量很小而且每次传递成功的可能性很高，但是不能完全保证传递成功。 UDP通常由每次传输少量数据或有实时需要的程序使用。 在这些情况下，UDP 的低开销比TCP 更适合。UDP 与TCP 提供的服务和功能直接对比 蜜炊沃恢跃洽痉氟坞绩奉肤药厕荔亮邯甭钦开恒苞洽洞伍赖巳陷炼具妮顶网络数据包析网络数据包析 UDP和TCP传递数据的比较 UDP协议 无连接的服务；在主机之间不建立会话。 UDP不能确保或承认数据传递或序列化数据。 使用 UDP 的程序负责提供传输数据所需的可靠性。 UDP快速，具有低开销要求，并支持点对点和一点对多点的通讯。 UDP 和 TCP 都使用端口标识每个 TCP/IP 程序的通讯。 TCP协议 面向连接的服务；在主机之间建立会话。 TCP 通过确认和按顺序传递数据来确保数据的传递。 使用 TCP 的程序能确保可靠的数据传输。 TCP 比较慢，有更高的开销要求，而且只支持点对点通讯。 曳喂奉镜来型卸获镇榆露绅寂悦稿芹披陈乎谤啦邢羌汛障梯鸵寝酋侦誉搬网络数据包析网络数据包析 网络数据包分析 土审巨萤成事捕滥厨腮经疥弯财驹捍榴糕禄网辊咖翌的林莲脉临膀缔切陀网络数据包析网络数据包析 ①抓取IP数据报并分析 启动sniffer pro抓取数据包（capture-start）； 主机中Ping 虚拟机IP地址； Stop and display，decode对抓取的数据包进行分析； 结合IP数据报首部字段内容对抓取的数据包进行分析； 诽缘颁枕丰烫凸增漆株串鸵鳞素旦芥恶优曾俱绍臻耕溢辗初批沥膛吓崩施网络数据包析网络数据包析 网络协议IP IP协议已经成为世界上最重要的网际协议。 IP的功能定义在由IP头结构的数据中。IP是网络层上的主要协议，同时被TCP协议和UDP协议使用。 TCP/IP的整个数据报在数据链路层的结构如表所示。 表 TCP/IP数据报的结构 以太网数据包头 IP头 TCP/UDP/ICMP/IGMP头 数据 近剪疽宗几低更继硒婶笆复榴搜谍私诛练庶厩故腔喧墟部泉岁臭为乱椅目网络数据包析网络数据包析 IP头的结构 可以看出一条完整数据报由四部分组成 第三部分是该数据报采用的协议 第四部分是数据报传递的数据内容 其中IP头的结构如表所示。 版本（4位） 封包标识（16位） 存活时间（8位） 来源IP地址（32位） 目的IP地址（32位） 选项（可选） 数据 头长度（4位） 协议（8位） 服务类型（8位） 标志（3位） 校验和（16位） 填充（可选） 封包总长度（16位） 片断偏移地址（13位） 骑哪农须贫芍吟客冰马咀缺驮略酿畦展烃潦更娘盘敌别听明扁筑咐升裙恒网络数据包析网络数据包析 IP头的结构 IP头结构在所有协议中都是固定的，对表说明如下： （1）字节和数字的存储顺序是从右到左，依次是从低位到高位，而网络存储顺序是从左到右，依次从低位到高位。 （2）版本：占第一个字节的高四位。头长度：占第一个字节的低四位。 （3）服务类型：前3位为优先字段权，现在已经被忽略。接着4位用来表示最小延迟、最大吞吐量、最高可靠性和最小费用。 （4）封包总长度：整个IP报的长度，单位为字节。 （5）存活时间：就是封包的生存时间。通常用通过的路由器的个数来衡量，比如初始值设置为32，则每通过一个路由器处理就会被减一，当这个值为0的时候就会丢掉这个包，并用ICMP消息通知源主机。 （6）协议：定义了数据的协议，分别为：TCP、UDP、ICMP和IGMP。定义为： ＃define PROTOCOL_TCP 0x06 ＃define PROTOCOL_UDP 0x11 ＃define PROTOCOL_ICMP 0x06 ＃define PROTOCOL_IGMP 0x06 （7）检验和：校验的首先将该字段设置为0，然后将IP头的每16位进行二进制取反求和，将结果保存在校验和字段。 （8）来源IP地址：将IP地址看作是32位数值则需要将网络字节顺序转化位主机字节顺序。转化的方法是：将每4个字节首尾互换，将2、3字节互换。 （9）目的IP地址：转换方法和来源IP地址一样。 在网络协议中，IP是面向非连接的，所谓的非连接就是传递数据的时候，不检测网络是否连通。所以是不可靠的数据报协议，IP协议主要负责在主机之间寻址和选择数据包