实验3--包分析实验素材.ppt

* Ethereal /Wireshark简介 Wireshark是一个免费的开源网络数据包分析工具，可以在Linux、Solaris、Windows等多种平台运行。 它允许用户从一个活动的网络中捕捉数据包并进行分析，详细探究数据包的协议字段信息和会话过程。 帮助网络管理员解决网络问题，帮助网络安全工程师检测安全隐患，开发人员可以用它来测试协议执行情况、学习网络协议。 具有很好的可扩展性，用户能自由地增加插件以实现额外功能。 Wireshark更名的故事 2006年6月8号, Ethereal软件的创始人Gerald Coombs宣布离开NIS公司(Ethereal所属公司)，正式加入CaceTech。 由于Coombs最终没能与NIS公司达成协议，Coombs想保留Ethereal商标权，因此将Ethereal后续版本更名为Wireshark，属于CaceTech公司。 Ethereal原网站(/)依旧提供下载服务。 如何获得软件 Ethereal官网（终结版本0.99.0）：http://www.E/ Wireshark官网（最新稳定版本1.2.8）：/ 在安装Wireshark时，要同时安装Winpcap，它是提供Windows 系统所需要的封包捕获驱动程序 IP 地址与硬件地址 TCP 报文 IP 数据报 MAC 帧 应用层数据 首部 首部 尾部 首部 链路层及以下 使用硬件地址 硬件地址 网络层及以上 使用 IP 地址 IP 地址 应用层数据 TCP 首部 20 字节的 固定首部 目 的 端 口 数据 偏移 检 验 和 选 项 （长 度 可 变） 源 端 口 序 号 紧 急 指 针 窗 口 确 认 号 保 留 F I N 32 位 S Y N R S T P S H A C K U R G 位 0 8 16 24 31 填 充 TCP 数据部分 TCP 首部 TCP 报文段 IP 数据部分 IP 首部 发送在前 TCP 报文段的首部格式 IP 地址与硬件地址 TCP 报文 IP 数据报 MAC 帧 应用层数据 首部 首部 尾部 首部 链路层及以下 使用硬件地址 硬件地址 网络层及以上 使用 IP 地址 IP 地址 固 定 部 分 可变 部分 0 4 8 16 19 24 31 版 本 标志 生 存 时 间 协 议 标 识 区 分 服 务 总 长 度 片 偏 移 填 充 首 部 检 验 和 源 地 址 目 的 地 址 可 选 字 段 （长 度 可 变） 位 首部长度 数 据 部 分 数 据 部 分 首 部 IP 数据报 首 部 发送在前 IP 地址与硬件地址 TCP 报文 IP 数据报 MAC 帧 应用层数据 首部 首部 尾部 首部 链路层及以下 使用硬件地址 硬件地址 网络层及以上 使用 IP 地址 IP 地址 以太网 MAC 帧 物理层 MAC层 10101010101010 10101010101010101011 前同步码 帧开始 定界符 7 字节 1 字节 … 8 字节 插入 IP层 目的地址 源地址 类型 数 据 FCS 6 6 2 4 字节 46 ~ 1500 IP 数据报 MAC 帧 以太网的 MAC 帧格式 SYN- SENT ESTAB- LISHED SYN- RCVD LISTEN ESTAB- LISHED 用三次握手建立 TCP 连接的各状态 SYN = 1, seq = x ACK = 1, seq = x + 1, ack = y ? 1 CLOSED CLOSED 数据传送 主动打开 被动打开 A B 客户 服务器 TCP 的连接建立 SYN = 1, ACK = 1, seq = y, ack= x ? 1 FIN = 1, seq = u ACK = 1, seq = v, ack= u ? 1 FIN = 1, ACK = 1, seq = w, ack= u ? 1 主动关闭 被动关闭 数据传送 通知 应用 进程 ESTAB- LISHED ESTAB- LISHED A B 客户 服务器 数据传送 TCP 的连接释放 在确认报文段中 ACK = 1，确认号 ack ? w ? 1