网络数据报分析邓.docVIP

课程实训报告 课 程 名 称： 计算机网络安全 二 级 学 院： 汽车与电子工程学院 年级、 专业： 2009级计算机科学与技术 学 生 姓 名： 邓百胜 学 号： 指 导 教 师： 马味 完 成 时 间： 2012-12-8 实验1 网络数据报分析 一：实验目的 学会使用Telnet服务远程登录一台计算机； 熟悉IP头结构；抓取并分析理解TCP连接的数据报； 抓取并分析理解UDP数据报。 二：实验内容 使用Telnetet服务 ，远程登陆计算机，并使用Sniffer Pro抓取些过程。 分析Sniffer Pro抓取的任一数据包的IP头结构，并分析其组成。 进行远程登陆，并跟踪记录TCP连接和断开的过程，分析协议的交互过程。 三：实验步骤 步骤1 使用Telnet远程登录 使用Telnet服务，远程登录虚拟机中的操作系统，并使用Sniffer Pro抓取些过程。要使用Telnet服务，首先需要在虚拟机上开启Telnet服务，选择进入Telnet服务管理器。如图 在Telnet服务管理器中，选择4，启动Telnet服务器，如图; 虚拟机上的Telnet服务器启动后，打开Sniffer Pro，按照实验1的设置，开始捕捉数据包。之后在主机的命令行窗口中连接虚拟机中的Telnet服务器 步骤2 分析数据报的IP头结构 首先，再熟悉一下IP头结构，IP头的结构如表 版本（4位） 头长度（4位） 服务类型（8位） 封包总长度（16位） 封包标识（8位） 标志（3位） 片断偏移地址（13位） 存活时间（8位） 协议（8位） 校验和（16位） 源IP地址（32位） 目的IP地址（32位） 选项（可选） 填充（可选） 数据 查看Sniffer分析的结果，如图： 具体分析如图： 步骤3 分析TCP连接时的数据报 TCP首先通过三次握手完成连接的准备，握手就是为了保证传输的同步，“三次握手”的过程如图： 实验中，Telnet服务中TCP连接和断开过程的抓取，最上面的三次全话是“三次握手”的过程，最下面的四次会话是“四次握手”的过程。 第1次握手 首先分析建立“握手”的第一个过程包的结构，主机A的TCP向主机B的TCP发出连接请求分组，其头部中的同步比特SYN应置为1 。应答比特ACK应置为0，如图： 第二次握手 主机B的TCP收到连接请求分组后，如同意建立连接，则发回确认分组中应将SYN位和ACK位均置1，如图： 第三次握手 对方计算机返回的数据包中ACK为1且SYN为1，说明同意连接。这时需要源计算机的确认数据包的结构如图： 通过三次“握手”，TCP成功建立连接，然后就可以进行通信。需要断开连接，TCP也需要互相确认才可以断开连接，否则就是非法断开连接。断开连接时的四次“挥手”过程，如图： 步骤4 使用常用的网络命令 常用的网络命令有：判断主机是否连通的ping指令，查看IP地址配置情况的ipconfig指令、网络连接状态的netstat指令、网络操作的net指令和定时器操作的at指令，等等 ping指令 ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接。应答消息的接收情况将与往返过程的次数一起显示出来。Ping指令用于检测网络的连接性和可到达性，如果不带参数，ping将显示帮助，如图： ipconfig指令 ipconfig指令显示所有TCP/IP网络配置信息、刷新动态主机配置协议（DHCP）和域名系统（DNS）设置。使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。在DOS命令下输入ipconfig指令。如图： netstat指令 netstat指令显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPv4统计信息（IP,ICMP,TCP和UDP协议）。使用“netstat-an”命令可以查看目前活动的连接和开放的端口，是网络管理员查看网络是否被入侵的最简单方法。使用的方法如图： 当前计算机开放了很多端口，状态为“LISTENING”表示某端口正在监听，还没有和其他计算机建立连接，状态为“ESTABLISHED”表示正在和某计算机进行通信，并将通信计算机的IP地址和端口号显示出来。 net指令 net指令的功能非常强大，在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服务等。 利用net指令可以在命令行下新建一个用户并将用户添加管理员组。 at指令 使用at指令建立一个计划任务，并设置在某一时刻执行，但是必须首先与对方建立信任连接， tracert指令 tracert(跟踪路由)是跟由跟踪实用程序，用于确定IP数据报访问目标所采取的路